Documentos de Académico
Documentos de Profesional
Documentos de Cultura
avanzados
Preparación para la certificación MCSA - Examen 70-412
A. Prólogo 16
B. Condiciones requeridas 17
1. Nivel/conocimientos 17
2. Certificaciones anteriores 17
3. Equipo necesario para los trabajos prácticos 17
1. Menú Inicio 24
2. Panel de control 25
3. Los programas 26
4. Los métodos abreviados de teclado 27
D. El direccionamiento IP 31
1. Direccionamiento IP dinámico 31
2. Direccionamiento IP estático 31
G. Trabajos prácticos 36
1. Servicio de directorio 68
2. Gestión del servicio de directorio 69
a. Administrar Active Directory 70
b. Particiones Active Directory 74
3. Gestión de identidades y de acceso 75
4. Administración de unidades organizativas 76
a. Agregar una UO empleando la interfaz gráfica 77
b. Agregar una UO empleando comandos DOS 81
c. Agregar una UO con PowerShell 81
5. Directivas de grupo 82
a. Administración de las directivas de grupo 82
b. Solución de problemas de directivas de grupo 84
C. Niveles funcionales 91
1. Niveles funcionales de bosque 91
2. Niveles funcionales de dominio 92
3. Elevar el nivel funcional 93
D. Controladores de dominio 94
1. Roles FSMO 95
2. Catálogo global 98
C. IPAM 172
1. Presentación del servidor IPAM 172
2. Administración del servidor IPAM 173
3. Instalar y configurar la gestión de direcciones IPAM 175
4. Administración del espacio de direcciones IP 182
a. Intervalos de direcciones IP 182
b. Direcciones IP 184
c. Bloques de direcciones IP 185
5. Supervisar y administrar IPAM 186
a. Servidores DNS y DHCP 186
b. Ámbitos DHCP 187
c. Supervisión de zonas DNS 187
d. Grupos de servidores 188
6. Catálogo de eventos 188
D. BranchCache 291
b. Particiones 363
2. Administración de dominios Active Directory 363
a. Gestión administrativa 363
b. Particiones 363
3. Despliegue distribuido AD DS 363
a. Dominios o bosques múltiples 364
b. Actualización a Windows Server 2012 R2 365
c. Migración a Windows Server 2012 R2 366
d. Relaciones de confianza 367
e. Enrutamiento de sufijo de nombre 371
B. Presentación de AD CS 447
1. Servicios de certificados AD CS 447
a. CA independiente 448
b. CA empresarial 448
c. Administración de AD CS 448
2. Jerarquía de CA 450
a. Infraestructura de dos capas 450
b. Infraestructura de tres capas 451
c. CA raíz 453
d. CA intermedia 454
e. CA emisora 454
3. Servicios de roles AD CS 454
a. Entidad de certificación 454
b. Solicitud de certificados a través de la Web 455
c. Respondedor en línea 455
d. Inscripción de dispositivos de red 455
e. Inscripción de certificados 455
f. Directiva de certificados 456
4. Certificados 456
a. Plantillas de certificado 457
b. Solicitud de certificado 459
1. Instantáneas 656
2. Papelera de reciclaje de Active Directory 660
índice 691
Para ayudarle en una preparación eficaz del examen, este libro cubre todos los objetivos
oficiales, tanto desde un punto de vista teórico como práctico. Ha sido redactado por un
consultor , certificado por Microsoft. De esta forma, su saber hacer pedagógico y técnico
conducen a un enfoque claro y visual, de un alto nivel técnico.
Capítulo tras capítulo podrá validar sus conocimientos teóricos, empleando un gran número
de preguntas-respuestas (150 en total) haciendo hincapié tanto en los elementos
fundamentales como las características específicas de los conceptos cubiertos.
Cada capítulo termina por unos trabajos prácticos (75 en total) que proporcionarán los medios
para medir su autonomía. Estas operaciones en concreto, le permitirán forjar una primera
experiencia significativa y adquirir verdaderas competencias técnicas acerca de un conjunto de
situaciones reales, más allá de los objetivos fijados para el examen.
A este dominio del producto y sus conceptos, se añade la preparación específica para la
certificación: podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en
condiciones cercanas a las de la prueba. En este sitio, cada pregunta está planteada dentro del
espíritu de la certificación y, para cada una, se encuentran respuestas suficientemente
comentadas para cubrir o identificar sus lagunas.
Armelin ASIMANE
Armelin ASIMANE es Ingeniero de sistemas, especializado en las tecnologías Microsoft y Citrix
desde hace años. Después de haber obtenido varias certificaciones en estos dos dominios, creó
en 2012 un blog informático (infonovice.fr) para compartir su conocimiento, experiencia y su
pasión por el universo de las nuevas tecnologías.
Introducción
El examen 70-412 "Configuración de servicios avanzados de Windows Server 2012 R2" es el
último de los tres exámenes obligatorios para la obtención de la certificación MCSA Windows Server
2012 R2.
Para asistirle en una preparación eficaz del examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista teórico como práctico. Ha sido redactado por un consultor certificado
técnicamente por Microsoft. De esta forma, su experiencia pedagógica y técnica se traduce en un
enfoque claro y visual, de un alto nivel técnico. Capítulo tras capítulo podrá validar sus conocimientos
teóricos, gracias a una gran cantidad de preguntas-respuestas (150 en total) que hacen hincapié
tanto en los elementos fundamentales como en las características específicas de los conceptos
abordados. Cada capítulo finaliza con un trabajo práctico (75 en total) que le proporcionará los
medios necesarios para evaluar su autonomía. Estas operaciones concretas, que sobrepasan los
objetivos fijados por el examen, le permitirán desarrollar una experiencia significativa y adquirir
verdaderas competencias técnicas en situaciones reales.
A este dominio del producto y sus conceptos, se añade la preparación específica para la certificación:
podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en condiciones
similares a las de la prueba. En este sitio, cada pregunta está planteada dentro del espíritu de la
certificación y, para cada una, se proveen respuestas suficientemente comentadas para cubrir o
identificar sus lagunas.
Prólogo
Este libro pertenece a la colección Certificaciones de Ediciones ENI y tiene como objetivo la
preparación para la certificación Microsoft 70-412: Configuración y administración avanzada de los
servicios Windows Server 2012 y Windows Server 2012 R2.
Implementación de los servicios avanzados de red bajo Microsoft Windows Server 2012 R2
Los capítulos Presentación de Windows Server 2012 R2 y Los servicios de dominio Active Directory
sirven de recordatorio básico de la administración de los servidores de Microsoft.
Cada capítulo está compuesto por una parte teórica y una parte práctica con trabajos prácticos en
condiciones de casos reales que puedan surgir en una empresa.
Se puede consultar la tabla detallada con los objetivos oficiales de la certificación al final del
libro.
Condiciones requeridas
Antes de leer este libro, es importante saber a qué público está dirigido, así como el nivel requerido
para el aprendizaje y poder aprobar la certificación Microsoft 70-412: Configuración y administración
avanzada de los servicios Windows Server 2012 R2.
1. Nivel/conocimientos
Este libro se dirige a toda persona que cuente con una experiencia significativa en entornos
Windows. Sin embargo, se recordarán algunos conceptos básicos para refrescar la memoria de
todos. Un administrador Windows podrá seguir fácilmente el contenido de este libro mientras que un
técnico de sistemas y redes podrá posiblemente tener algunas lagunas sobre la parte de
administración avanzada de Microsoft Windows Server 2012 R2.
2. Certificaciones anteriores
No es necesario haber obtenido las certificaciones particulares de versiones anteriores de Windows
para seguir el plan de certificación MCSA o MCSE Windows Server 2012 R2. Para aquellos que ya
cuenten con las certificaciones del entorno Windows Server 2008, es posible realizar una
actualización aprobando un único examen (70-417).
Es preferible aislar la red de su entorno de laboratorio para no alterar otros componentes de red
físicos de su empresa o su red doméstica. El laboratorio que servirá para trabajar en los diferentes
trabajos prácticos estará compuesto por las máquinas siguientes:
Máquina IP
DC-01 192.168.0.100
DC-02 192.168.0.101
DC-CORE 192.168.0.102
IPAM-01 192.168.0.103
CLIENT1 192.168.0.104
OXYDC-01 192.168.0.105
ISCSI-01 192.168.0.106
CACHE-01 192.168.0.107
CLIENT2 192.168.0.108
FILES-01 192.168.0.109
DC-03 192.168.0.110
DC-04 192.168.0.111
CS-01 192.168.0.112
CS-02 192.168.0.113
NLB-01 192.168.0.114
NLB-02 192.168.0.115
El plan de estudios de la certificación de Microsoft
Una certificación de Microsoft es un activo importante en el mundo empresarial, especialmente en los
clientes de ”gran cuenta”. Afrontar la certificación le permite poner a prueba sus conocimientos y
competencias técnicas acerca de un producto de la gama de software del fabricante. Microsoft ha
actualizado su plan de estudios de certificación para el producto Windows Server 2012 R2. Aprobar el
conjunto de las certificaciones proporciona acceso a dos títulos específicos: MCSA y MCSE.
A partir de enero de 2014, Microsoft ha actualizado el plan de certificación MCSA, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
El plan MCSE Desktop Infrastructure está compuesto de las certificaciones 70-415 (Diseño e
implementación de una infraestructura cliente Microsoft) y 70-416 (Implementación de entornos de
puestos de trabajo Microsoft). Este conjunto de competencias permiten validar la capacidad de
implementar un entorno de trabajo seguro para todo tipo de dispositivos (fijos o móviles).
MCSE Server Infrastructure
El plan MCSE Server Infrastructure está compuesto por las certificaciones 70-413 (Diseño e
implementación de una infraestructura de servidores Microsoft) y 70-414 (Implementación de una
infraestructura de servidores Microsoft avanzada). Este conjunto de competencias permiten validar
la capacidad de implementar una infraestructura compleja basada en Windows Server 2012 R2.
El conjunto de los exámenes del plan se presenta en forma de preguntas de selección múltiple. Para
aprobar el examen, es necesario inscribirse en un centro concertado con Microsoft.
A partir de abril de 2014, Microsoft ha actualizado el plan de certificación MCSE, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
Requisitos previos y objetivos
1. Requisitos previos
Contar con un buen conocimiento de los entornos Windows.
2. Objetivos
Conocer las novedades del sistema operativo Windows Server 2012 R2.
Novedades en BranchCache
Novedades en PowerShell v4
Novedades en Hyper-V
Para obtener más información sobre las novedades de Windows Server 2012 R2, puede consultar el
sitio oficial de Microsoft en la siguiente dirección: http://technet.microsoft.com/es-es/library/dn250019
Windows Server 2012 R2 Foundation: esta edición con funcionalidad limitada del sistema
operativo servirá para las pequeñas organizaciones que deseen dotarse de una solución todo-
en-uno, ya que esta edición sólo está disponible en versión OEM (preinstalado en equipos
nuevos). En esta edición, no es posible realizar virtualización con Hyper-V.
Windows Server 2012 R2 Essentials: esta edición con funcionalidades limitadas del sistema
operativo está más adaptada a las PYMES. En esta edición, tampoco es posible realizar
virtualización con Hyper-V.
Windows Server 2012 R2 Standard: esta edición más completa del sistema operativo
corresponderá a estructuras más importantes. Se encuentran disponibles todas las
funcionalidades a excepción de la virtualización con Hyper-V, que está limitada a solo dos
máquinas virtuales.
Windows Server 2012 R2 Datacenter: esta edición del nuevo sistema operativo para
servidores de Microsoft es la más completa. Ofrece todas las funcionalidades existentes sin
ninguna limitación a nivel de creación de máquinas virtuales. Esta edición corresponderá
perfectamente a entornos complejos como, por ejemplo, estructuras Cloud.
En el marco de los trabajos prácticos de este manual, utilizaremos las versiones Datacenter de
Windows Server 2012 R2.
Procesador: arquitectura de 64 bits exclusivamente, velocidad de 1,4 GHz como mínimo (es
recomendable contar con un procesador multinúcleo).
Memoria RAM: 512 MB mínimo (recomendado contar con al menos 1024 MB).
Disco duro: 32 GB mínimo (la instalación real requiere en torno a 10 GB, es necesario que el
sistema cuente con espacio para gestionar la memoria en el disco).
Un monitor: una resolución mínima de 800 x 600 (es recomendable contar con una resolución
mínima de 1024 x 768).
Si desea emplear el sistema operativo para la funcionalidad de virtualización de servidor (Hyper-
V), es preciso asegurar que el procesador cuenta con el juego de instrucciones dedicadas a la
virtualización (AMD-V para los procesadores AMD e INTEL-VT para los procesadores INTEL).
Nueva interfaz gráfica
Microsoft, que nos había habituado a la interfaz gráfica presente en las anteriores versiones de
Windows, cambia de rumbo presentando, con la llegada de Windows 8, una nueva interfaz gráfica.
Esta nueva interfaz, que supone cambiar bastantes hábitos, comienza de forma notable eliminando el
tradicional menú Inicio. Microsoft justifica la opción gráfica de Windows 8 refiriéndose al hecho de que
el menú Inicio está anticuado, se utiliza poco y no se adapta bien a la evolución de las pantallas
táctiles. Los usuarios y empresas han respondido negativamente a esta revolución, lo que podría
frenar significativamente el despliegue masivo de este nuevo sistema operativo. Frente a esta
protesta, Microsoft ha decidido escuchar las necesidades de sus usuarios, reintegrando
el menúInicio en Windows 8.1 y Windows Server 2012 R2. Para acceder a las aplicaciones instaladas
en el equipo debemos, en lo sucesivo, pasar por el menú Inicio. Este menú se estructura empleando
grandes cuadros que representan las aplicaciones y es completamente personalizable (cambiar el
tamaño de los cuadros, desplazar los iconos, etc.).
1. Menú Inicio
El tradicional botón Inicio vuelve a aparecer en Windows Server 2012 R2 y Windows 8.1. Haciendo
clic con el botón izquierdo del ratón en él podemos acceder a la pantalla de inicio de la nueva
interfaz gráfica, mientras que un clic con el botón derecho hará aparecer el menú Inicio.
2. Panel de control
El acceso al panel de control también ha sido rediseñado. Existen varias formas de acceder:
mediante el menú Inicio, la pantalla de inicio o a través de accesos directos en la pantalla. Por
ejemplo, es posible acceder pasando el cursor de su ratón por la esquina superior derecha y luego
desplazando el cursor hacia abajo. Esta acción hace aparecer un menú en el que vemos un
engranaje titulado Configuración. Después de hacer clic sobre él, podemos acceder al menú Panel
de control.
El acceso al Panel de control puede, también, realizarse a través de la lista de aplicaciones
presente en la pantalla de inicio o realizando una búsqueda en la nueva barra de herramientas
escribiendo panel.
3. Los programas
El acceso a las aplicaciones se realiza mediante la pantalla de inicio o el menú Inicio.
Por defecto, varias aplicaciones están ocultas. Para mostrar todas las aplicaciones instaladas, haga
clic en el botón .
servidor).
1. Instalación completa
La instalación completa de Windows Server 2012 R2 corresponde a la instalación del sistema
operativo integrando la interfaz gráfica de usuario. La administración de un servidor instalado en
este modo podrá llevarse a cabo mediante las herramientas de administración estándar y la
navegación en el SO se realizará empleando las tradicionales ventanas de Windows además de la
nueva interfaz gráfica. En adelante es posible desinstalar la parte gráfica desde la línea de
comandos PowerShell o empleando la interfaz gráfica:
Servicio DHCP
Servicio DNS
BranchCache
Hyper-V
Servicios de impresión
iSCSI
Servidor Telnet
Migración Unix
Por defecto, los roles y características de servidor no se instalan en el disco duro durante la
instalación del sistema operativo en modo de instalación mínima. Para instalar un componente, se
deberá contar con acceso a una conexión a Internet en la máquina para que el sistema pueda
descargar automáticamente los componentes restantes. Si no existe un acceso a Internet
disponible, es posible cargar las fuentes de instalación de Windows a partir de un DVD-ROM de
instalación escribiendo el comando PowerShell siguiente:
Para conocer el nombre de un rol o característica de servidor, bastará con escribir el comando
PowerShell siguiente: Get-WindowsFeature
El direccionamiento IP
Para poder comunicarse en una red, un servidor provisto de un sistema operativo Microsoft debe
tener una dirección IP configurada y conforme a la subred en la que se encuentre. La dirección IP de
un equipo se configura en los parámetros de la tarjeta de red.
1. Direccionamiento IP dinámico
Por defecto, un sistema operativo no posee una dirección IP después de su instalación. La direción
IP se configura automáticamente mediante un servideor DHCP (Dynamic Host Configuration Protocol)
que se encarga de atribuir todos los parámetros de la configuración de red.
2. Direccionamiento IP estático
Si deseamos configurar el equipo con parámetros específicos, es posible desactivar la opción de
configuración automática para introducir manualmente los parámetros de configuración de una
tarjeta de red. Hablamos, en este caso, de una dirección IP estática.
Los protocolos de red
Los protocolos de red permiten definir la manera en que se efectuarán las comunicaciones y otras
transferencias de datos. Estos protocolos están estructurados en varias capas donde cada una tiene
un alcance y un rol determinado. Es posible encontrar el detalle de las capas en forma de modelos
centrándonos específicamente en el modelo OSI (Open Systems Interconnection, que presenta siete
capas de comunicación) y en el modelo TCP/IP (Transfer Configuration Protocol/Internet Protocol, que
cuenta con cuatro capas de comunicación). Existen varios protocolos de transferencia de datos, pero
el seleccionado para la red Internet es el protocolo TCP/IP, que cuenta con las versiones IPv4 e IPv6.
1. Modelo TCP/IP
El modelo TCP/IP constituye un conjunto de protocolos organizados en cuatro capas de
comunicación distintas. Encontramos, en particular, las capas siguientes:
TCP: garantiza el transporte de los datos en modo conectado (con acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte TCP son
fiables. Mediante el sistema de acuses de recibo, dos equipos que se comunican
conjuntamente pueden garantizar que el conjunto de datos se ha recibido correctamente.
UDP: garantiza el transporte de los datos en modo sin conexión (sin acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte UDP no son
fiables. Sin control de errores, la comunicación es más rápida.
La capa de Aplicación: agrupa las aplicaciones estándar de red tales como TELNET, FTP,
SMTP.
2. Protocolo IP
Para comunicarse en la red, un equipo debe estar provisto físicamente de una tarjeta de red y
lógicamente de una dirección IP. La dirección IP permite identificar a un host en la red para
comunicarse con él. Existen dos tipos de direcciones IPv4. Las direcciones que emplean el protocolo
IPV4 y las direcciones que emplean el protocolo IPv6.
a. Direccionamiento IPv4
Una dirección IPv4 está codificada en 32 bits, con 4 bytes separados por un punto. Cada byte
representa un número decimal con un valor entre 0 y 255.
Una dirección IPv4 posee una máscara de subred que define por una parte la dirección de red (los
primeros bytes) y, por otra parte, la dirección de la máquina en la red (los últimos bytes).
Las direcciones IPv4 privadas: permiten comunicarse en una red de área local.
Las direcciones IPv4 privadas tienen cinco tipos de clase no direccionables en Internet para definir
direcciones IP de red de área local:
Inicio Fin Notación Máscara de
CIDR subred
b. Direccionamiento IPv6
Una dirección IPv6 está codificada en 128 bits, equivalentes a 16 bytes en grupos de dos
separados por dos puntos (:) y representados en hexadecimal. Una dirección IPv6 no posee
máscara de subred, sino prefijos que definen el ID de red de la misma forma que una dirección
IPv4.
La dirección IPv6 posee ciertas similitudes con la dirección IPv4. Por ejemplo:
0.0.0.0 (IPv4)
:: (IPv6)
127.0.0.1 (IPv4)
::1 (IPv6)
169.254.0.0/16 (IPv4)
::64 (IPv6)
::255.255.255.255 (IPv6)
224.0.0.0/4 (IPv4)
FF00::/8 (IPv6)
Existen varios tipos de direcciones cuando se utiliza el protocolo IPv6. Cada tarjeta de red posee
varias direcciones IPv6. Encontramos, en particular, las direcciones IPv6 de tipo:
monodifusión
multidifusión
La administración de Windows Server 2012 R2
El sistema operativo Windows Server 2012 R2 puede administrarse de diferentes maneras. Para facilitar la
administración, es importante conocer y saber manipular las principales herramientas gráficas dedicadas a la gestión
del servidor.
Las Carpetas compartidas: permite consultar los diferentes recursos compartidos activos
en el servidor o crear nuevos recursos compartidos de red.
Los Usuarios y grupos locales: permite gestionar las cuentas y grupos de usuarios
locales, definirlos o restablecer las contraseñas.
El almacenamiento
Esta categoría agrupa:
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Para realizar los siguientes trabajos prácticos, bastará una máquina virtual con las características
mínimas para ejecutar Windows Server 2012 (una vCPU a 1,4 GHz en arquitectura de 64 bits, un disco
duro de 20 GB como mínimo (suficiente para nuestro entorno de prueba) y 1024 GB de RAM). Habrá
que asegurarse que la BIOS de la máquina virtual esté configurada para arrancar desde la unidad de
CD-ROM:
La máquina virtual deberá, a su vez, contar con una tarjeta de red que podremos configurar
posteriormente.
Paso 3: introduzca el número de serie del producto Windows Server 2012 R2 y haga clic
enSiguiente:
Paso 4: seleccione la edición que especifica servidor con una GUI y haga clic en Siguiente:
Paso 5: marque la opción Acepto los términos de licencia y haga clic en Siguiente:
Paso 6: haga clic en Personalizada: instalar solo Windows (avanzado):
Paso 11: al iniciar la sesión, la consola Administrador del servidor se abre automáticamente.
Haga clic en Configurar este servidor local:
Paso 2: una vez terminada la instalación del sistema operativo, se abrirá una simple ventana
DOS:
Para administrar Windows Server 2012 R2 en modo Server Core, es posible utilizar comandos
DOS o PowerShell.
Para conocer el nombre actual del equipo, escriba el comando DOS hostname:
Para modificar el nombre del servidor y llamarlo DC-CORE, escriba el comando DOS
siguiente:netdom renamecomputer <hostname> /NewName:DC-CORE
Paso 1: en la consola Administrador del servidor, haga clic en Configurar este servidor local:
Paso 2: a continuación, haga clic en Dirección IPv4 asignada por DHCP, IPv6 habilitado:
Para respetar las buenas prácticas, si el servidor a configurar está destinado a convertirse en un
controlador de dominio (rol Active Directory Domain Services), habrá que contar con la
configuración de la sección Servidor DNS introduciendo la dirección IP de bucle invertido (127.0.0.1)
como dirección IP del servidor DNS alternativo, o no preferido.
Para configurar la dirección IP del servidor DNS preferido, escriba el comando siguiente:
Para configurar la dirección IP del servidor DNS auxiliar, escriba el comando siguiente:
Escriba el comando PowerShell siguiente para configurar la dirección IP de la interfaz del servidor
DNS:
Paso 4: escriba DC-CORE1 como el nuevo nombre a asignar al servidor DC-CORE, y valide
pulsando la tecla [Intro]:
Paso 5: escriba INFONOVICE\Administrador, que es una cuenta con permisos de
administración en el servidor para poder efectuar la operación de cambio de nombre del equipo.
Valide, a continuación, pulsando la tecla [Intro]:
Paso 8: al reiniciar el servidor, abra de nuevo una sesión en el servidor Core y, a continuación,
escriba el comando hostname para validar que el nombre del servidor se ha cambiado
correctamente:
Paso 9: escriba la dirección de la pasarela por defecto asociada a la tarjeta de red a configurar
(por ejemplo: 192.168.0.254) y, a continuación, pulse la tecla [Intro] para validar:
Paso 10: teclee el número 2para indicar la dirección de los servidores DNS asociados a la tarjeta
a configurar:
Paso 11: escriba la dirección IP del servidor DNS preferido (por ejemplo: 192.168.0.100) y, a
continuación, pulse la tecla [Intro] para validar:
Paso 12: haga clic en Aceptar:
Paso 13: escriba la dirección IP del servidor DNS alternativo (por ejemplo: 192.168.0.101), y,
a continuación, pulse la tecla [Intro] para validar:
Paso 14: haga clic en Aceptar:
Paso 15: la dirección IP de la tarjeta de red seleccionada está configurada en adelante de forma
estática. Teclee 4para volver al menú principal:
La dirección IP está configurada y el servidor está listo para comunicarse en la red.
Resumen del capítulo
Tras la lectura de este capítulo, hemos visto los conceptos básicos de la navegación en Windows
Server 2012 R2 y la configuración mínima para empezar a utilizar el sistema operativo en una red.
Podría resumirse de la manera siguiente:
Al igual que Windows 8.1, Windows Server 2012 R2 cuenta con la nueva pantalla de inicio.
Instalación completa
Instalación mínima
1. Preguntas
1 ¿Cuáles son las cuatro ediciones de Windows Server 2012 R2?
3 ¿Qué combinación de teclas permite mostrar el panel del menú derecho de Windows?
7 ¿Es compatible el componente DNS con una instalación mínima de Windows Server 2012 R2?
13 ¿Qué comando permite configurar un Server Core mediante una interfaz básica?
14 ¿Cuáles son las características mínimas para instalar Windows Server 2012 R2?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, sume un
punto.
3. Respuestas
1 ¿Cuáles son las cuatro ediciones de Windows Server 2012 R2?
Windows Server 2012 R2 Foundation (versión OEM, limitada a 15 usuarios y sin Hyper-V)
3 ¿Qué combinación de teclas permite mostrar el panel del menú derecho de Windows?
Para mostrar el panel del menú derecho de Windows, basta con pulsar simultáneamente las teclas
+ C.
La instalación completa de Windows Server 2012 corresponde a una instalación del sistema
operativo provista de una interfaz gráfica y del conjunto de componentes disponibles.
7 ¿Es compatible el componente DNS con una instalación mínima de Windows Server 2012 R2?
El componente DNS está disponible en la instalación mínima de Windows Server 2012 R2.
Una dirección IP dinámica representa una dirección IP asignada mediante un servidor DHCP. La
dirección IP asignada posee una concesión durante la cual ningún otro equipo podrá recibir la
dirección configurada.
Uno de los requisitos para la instalación de Windows Server 2012 R2 consiste en instalar el
sistema operativo en un procesador de arquitectura de 64 bits com o m ínim o.
El comando sconfigpermite llamar a una interfaz de fácil manejo para configurar los elementos
básicos de un Servidor Core.
14 ¿Cuáles son las características mínimas para instalar Windows Server 2012 R2?
Las características mínimas de instalación de Windows Server 2012 R2 son las siguientes:
La capa de red corresponde a la capa física del equipo (la tarjeta de red, por ejemplo).
Requisitos previos y objetivos
1. Requisitos previos
Saber instalar el sistema operativo Windows Server 2012 R2.
2. Objetivos
Comprender el rol de un directorio Active Directory en una empresa.
1. Requisitos previos
Conocer los fundamentos IPv4.
2. Objetivos
Comprender el rol de un servidor DNS.
Configurar DNSSEC.
Este rol de servidor (disponible en la instalación completa de Windows o en un servidor Core) puede
implementarse en un servidor independiente del dominio (Standalone), en un servidor miembro de
un dominio, o en un controlador de dominio. Sin embargo, un servidor DNS puede o no estar
integrado en un dominio Active Directory. La implementación de DNS dentro de Active Directory
aporta funcionalidades adicionales como, por ejemplo, una seguridad reforzada.
Los servidores DNS en Internet están organizados de forma jerárquica. En la cima de esta jerarquía
se encuentran los llamados servidores DNS raíz. Actualmente existen 13 servidores raíz a escala
mundial. Los servidores raíz que representamos esquemáticamente por un punto redirigen las
peticiones DNS a los servidores del nivel jerárquico inferior que cuenten con autoridad sobre los
recursos solicitados.
Los servidores DNS situados bajo los servidores raíz se conocen como servidores de primer nivel o,
más exactamente, servidores TLD (Top Level Domains). Los servidores TLD gestionan los registros de
más alto nivel del tipo *.com, *.net, *.org, etc. Cada país posee a su vez un registro de más alto
nivel del tipo *.es (España), *.de (Alemania), *.it (Italia), *.nz (Nueva Zelanda), *.fr (United-Kingdom:
Reino Unido), *.be (Bélgica), etc.
Los servidores DNS situados en los servidores TLD se conocen como servidores de segundo nivel. Es
en este nivel donde un proveedor de nombres de dominio podrá asignar un nombre de dominio
único para empresas o particulares de tipo infonovice.es, infonovice.com. Para cada nombre de
dominio, es posible crear un subdominio del tipo mail.infonovice.es, calendario.infonovice.es, etc.
El cliente DNS efectúa las peticiones DNS con destino al puerto UDP 53 de un servidor DNS (local o
remoto).
Cuando se realiza una solicitud de resolución de nombres por parte de un cliente a un servidor DNS,
la respuesta se registra en la caché DNS. Esta operación se efectúa a través del servicio de nombres
de Windows llamado Cliente DNS, que se encarga de actualizar la cache DNS y registrar el nombre
de host del equipo en el servidor DNS local.
Si se detiene el Cliente DNS, el equipo no podrá registrarse a sí mismo en un servidor DNS ni podrá
actualizar la caché con los resultados de solicitudes DNS.
Para consultar el contenido de la caché DNS de un equipo cliente, basta con escribir el comando
siguiente: ipconfig /displaydns
Para registrar el nombre de host de un equipo en el servidor DNS local, escriba el comando
siguiente: ipconfig /registerdns
Cuando un puesto cliente desea acceder a un servicio, tal como un sitio web, cuenta con un
mecanismo de peticiones DNS que lo gestiona de forma completamente transparente para el
usuario:
1. Un usuario quiere acceder al sitio web infonovice.es empleando su navegador
web. Una vez que se ha introducido la URL, el puesto cliente realiza una
petición DNS al servidor DNS de su proveedor de acceso Internet (ISP) para
saber si éste conoce la dirección IP del nombre de dominio infonovice.es.
3. Uno de los 13 servidores raíz contactados responde al servidor DNS del ISP
indicándole los servidores DNS con autoridad para la zona es.
4. El servidor DNS del ISP contacta, a continuación, con uno de los servidores DNS
de la zona es solicitándole la dirección IP de los servidores DNS que tengan el
nombre de dominio infonovice.es.
5. Uno de los servidor DNS de la zona es responde al servidor DNS del ISP
indicándole el nombre y la dirección IP del servidor DNS que tiene autoridad en
el dominio infonovice.es.
6. El servidor DNS del ISP contacta, a continuación, con los servidores DNS con
autoridad sobre el dominio infonovice.es solicitándole la dirección IP del nombre
del dominio.
8. El servidor DNS del ISP responde al puesto cliente indicándole la dirección IP del
nombre de dominio infonovice.es.
El proceso de instalación del rol de servidor copia a su vez el complemento llamado DNS, disponible
en las herramientas administrativas o una nueva MMC. También es posible instalar estas consolas
en un servidor que no cuente con el componente DNS, o en un puesto cliente como Windows 8.1,
instalando las herramientas de administración RSAT (Remote Server Administration Tools).
Es posible administrar un servidor DNS usando la consola gráfica (MMC) o por línea de comandos
Dnscmd o PowerShell.
De manera predeterminada un servidor DNS genera registros, que pueden consultarse mediante el
complemento Visor de eventos, en la sección Registros de aplicaciones y servicios, del
registroDNS Server (o directamente en la consola DNS, en la sección Registros globales del
registroEventos DNS):
Estos registros realizados por el servidor DNS pueden servir para realizar diagnósticos en la
resolución de problemas o simplemente para verificar el correcto funcionamiento del servicio. Los
registros almacenados pueden ser de varios niveles:
Información
Advertencia
Error
Comentario
Crítico
Si se desea un diagnóstico más exacto, existe la posibilidad de activar registros más detallados.
Esta acción tendrá como objetivo generar un registro suplementario que utilizará recursos
complementarios del servidor. Estos registros son muy extensos, no es recomendable mantener
esta opción activada mucho tiempo. Los registros de depuración se encuentran disponibles en las
propiedades del servidor DNS:
La activación del registro de depuración requiere las siguientes acciones:
b. Registros DNS
Un servidor DNS puede gestionar varios tipos de registros llamados registros de recursos. Estos
registros permiten identificar un equipo, un servidor, un servicio, un alias o un controlador de
dominio. Estos recursos puede crearlos dinámicamente el sistema de instalación del rol de servidor
DNS o un equipo cliente que se registre en el servidor DNS. También es posible que un
administrador cree manualmente estos registros. No es posible crear un registro de recursos en
una zona DNS.
Host A o AAAA: este tipo de registro de recursos permite identificar un equipo en la red
empleando su dirección IP y su nombre de dominio FQDN. Un host A corresponde a un
equipo identificado empleando su dirección IPv4, mientras que un host AAAA corresponde a
un equipo identificado mediante su dirección IPv6.
Alias (CNAME): este tipo de registro se denomina también, nombre canónico. Permite
identificar un equipo en la red mediante un nombre diferente al FQDN.
Inicio de autoridad (SOA): este tipo de registro se crea en primer lugar y permite indicar
los parámetros de una zona (SOA = Start Of Authority). Encontraremos, en particular, los
siguientes parámetros:
Numero de serie: este número se incrementa con cada actualización del archivo.
Intervalo de reintento: indica el período durante el cual un servidor DNS secundario que
no podía ponerse en contacto con el servidor DNS primario debe esperar antes de volver
a solicitar la actualización de la zona para recuperar un registro SOA.
Expira después de: indica el tiempo tras el que el servidor DNS secundario que no ha
podido recuperar el registro SOA del servidor DNS principal deja de responder a las
solicitudes de clientes para el nombre de la zona DNS.
Un servidor DNS almacena diferentes tipos de registros en su base de datos (por ejemplo:
registros de tipo A - Hostname). Cuando los registros dinámicos ya no sirven, se eliminan
automáticamente.
Por defecto, un equipo cliente intentará renovar su registro DNS (refrescar su marca de
tiempo) tras cada arranque, con cada expiración de la concesión de dirección IP asignada o
cada 24 horas.
Para activar los parámetros de caducidad/borrado a nivel de zona, hay que editar las propiedades
de la zona DNS haciendo clic en Caducidad… en la pestaña General:
No basta con habilitar el parámetro de borrado del servidor DNS o de las zonas para que el
proceso arranque. Para ello, es preciso iniciarlo manualmente haciendo clic en Borrar registro de
recursos obsoletos desde el menú contextual (haciendo clic con el botón derecho) en el servidor
DNS seleccionado.
Para activar la limpieza automática de los registros obsoletos habrá que editar las propiedades del
servidor DNS, pestaña Opciones avanzadas, y marcar la opción correspondiente:
Los registros DNS dinámicos se crean con una marca de tiempo. Los parámetros de
caducidad/borrado se basan en esta marca de tiempo para establecer si el registro debe borrarse
o no:
Los registros DNS estáticos no se crean con una marca de tiempo. En consecuencia, la opción de
caducidad/borrado no podrá eliminar estos registros:
d. Reenviadores del servicio DNS
Los reenviadores
Cuando no es posible resolver una petición DNS buscando información en el espacio de nombres
configurado, el servidor DNS puede llamar a un reenviador. Un reenviador es un conjunto de
servidores DNS que permiten al servidor DNS local transmitir todas sus peticiones DNS no
resueltas. Si no es posible encontrar un servidor DNS disponible como reenviador, el servidor DNS
local reenvía las consultas no resueltas a uno de los 13 servidores DNS raíz.
Generalmente, el administrador encargado del servidor DNS de un dominio configura los
reenviadores indicando los servidores DNS del ISP (proveedor de acceso a Internet). Para acceder
a este parámetro, hay que mostrar las propiedades del servidor DNS del dominio y, a continuación,
seleccionar la pestaña Reenviadores.
Existen también servidores DNS públicos (también llamados OpenDNS) como los famosos
servidores DNS de Google cuyas direcciones IP son las siguientes:
8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
De esta forma, cuando una petición no puede resolverse, el servidor DNS del dominio transfiere la
petición al servidor DNS del ISP o al que esté configurado en la pestaña Reenviadores.
Los reenviadores condicionales tienen también como función transferir peticiones DNS a otros
servidores DNS siempre que éstas tengan como destino un dominio en particular. De esta forma,
toda petición DNS que posea el nombre de dominio configurado será siempre transferida a los
servidores DNS con autoridad sobre los registros de recursos.
Para crear un redirector condicional, basta con indicar la dirección o direcciones IP de los servidores
DNS del dominio de destino.
Un redirector condicional funciona de la misma forma que una zona de rutas internas a diferencia
de que la configuración de los servidores DNS del dominio objetivo es estática, mientras que una
zona de rutas internas actualizará de forma dinámica la lista de servidores DNS del dominio de
destino.
Es posible alojar un redirector condicional en una partición de directorio Active Directory (a nivel del
bosque o del dominio).
La copia de seguridad de las zonas DNS es un aspecto importante para el administrador del
sistema. En caso de siniestro, será muy importante disponer de una copia de seguridad de la
configuración del servidor DNS para poder restablecer el servicio rápidamente. También se
recomienda implementar una estrategia de copia de seguridad adecuada para evitar cualquier
accidente. Una copia de seguridad completa del servidor basta para guardar la configuración DNS,
pero también es posible guardar las zonas DNS integradas o no en Active Directory de forma
individual.
Realizar una copia de seguridad de las zonas primarias consistirá entonces en agregar a la
directiva de copia de seguridad los archivos con extensión *.dns.
Las zonas DNS integradas en Active Directory se almacenan en una partición del directorio.
En otras palabras, la copia de seguridad completa de un controlador de dominio guarda a
su vez las zonas DNS integradas en Active Directory. Es posible, sin embargo, almacenar
una zona integrada en Active Directory por línea de comandos mediante PowerShell o
Dnscmd.
Copia de seguridad de una zona DNS integrada en Active Directory empleando Dnscmd:
4. Zonas DNS
Un servidor DNS tiene como función gestionar los registros de recursos. Un recurso representa la
asociación de una dirección IP y un nombre de dominio llamado FQDN (Fully Qualified Domain Name).
Para albergar y gestionar mejor estos recursos, un servidor DNS almacena los registros en
contenedores llamados zonas DNS. Una zona agrupa un conjunto de registros vinculados a un
dominio o un espacio de nombres. Microsoft Windows Server 2012 R2 puede gestionar de forma
nativa tres tipos de zona (las zonas principales, las zonas secundarias y las zonas de rutas
internas), además de una zona especial llamada GlobalNames que no está disponible de manera
predeterminada.
a. Zona principal
Una zona principal contiene todos los registros DNS sobre los que el servidor tiene autoridad. Esta
zona puede o no estar integrada en Active Directory. Una zona principal funciona en lectura o
escritura, salvo si esta última está almacenada en un controlador de dominio de solo lectura
(RODC: Read Only Domain Controller). Si la zona no está integrada en Active Directory, se
almacenará en el servidor dentro de un archivo con la extensión *.dns en la
carpeta%SYSTEMROOT%\System32\dns. Almacenar la zona principal en Active Directory
asegura la actualización de los registros DNS así como la replicación nativa para todos los
contralores de dominio del bosque.
b. Zona secundaria
Una zona secundaria contiene una réplica de una zona principal. Una zona secundaria funciona en
solo lectura. No es posible que un cliente la actualice. Para actualizarla, la zona secundaria
interrogará a la zona principal para recuperar la información a actualizar. Esta zona se almacena
en la carpeta %SYSTEMROOT%\System32\dns en un archivo con extensión *.dns. El
inconveniente de una zona secundaria es que no puede almacenarse en una partición del
directorio Active Directory. Por ello, el administrador de los servidores DNS de una empresa deberá
crear en cada servidor una zona DNS secundaria que contenga un espacio de nombres de otro
bosque.
Una zona de búsqueda inversa permite recuperar un nombre de host cuando solo se conoce su
dirección IP. Por defecto, la zona de búsqueda inversa no se crea automáticamente durante la
instalación del servidor DNS. Habrá que crearla y configurarla manualmente indicando la subred en
la que debe crearse la zona.
Una zona de rutas internas es, al igual que un reenviador condicional, un puntero que apunta a los
servidores DNS de otro dominio o espacio de nombres. A diferencia de un reenviador condicional, la
zona de rutas internas actualiza dinámicamente la lista de servidores DNS que tienen autoridad
sobre el espacio de nombres remoto. Asimismo, se almacena una zona de rutas internas en la
carpeta %SYSTEMROOT%\System32\dns en un archivo de extensión *.dns, aunque también
puede estar integrada en Active Directory.
Por ejemplo: el administrador del dominio infonovice.priv desea que los puestos cliente puedan
resolver las peticiones destinadas al dominio oxylive.local ubicado en otro bosque. Podrá decidir
crear una zona de rutas internas que tenga como objetivo reenviar todas las peticiones DNS
destinadas a los servidores DNS con autoridad en el espacio de nombres oxylive.local.
e. Zona GlobalNames
Una zona GlobalNames es un tipo de zona especial incorporada en Windows Server 2008. Su rol es
realizar las mismas funciones que el tradicional servidor WINS (Windows Internet Name Service). Es
decir, su objetivo es registrar las direcciones IP correspondientes a los nombres de equipos en
formato NetBIOS y no FQDN. No es posible actualizar una zona GlobalNames dinámicamente. Solo
puede almacenar registros estáticos. Por ello, la utilización de estas zonas debe limitarse a un
número de equipos restringido. En cierto modo, un registro GlobalNames vuelve a crear un alias
para un equipo existente declarado en una zona DNS principal.
Por defecto, una zona GlobalNames no aparece en las opciones de configuración de un servidor
DNS. Para emplear esta nueva funcionalidad, es preciso activarla manualmente siguiendo estas
operaciones:
Paso 1: abra un símbolo del sistema PowerShell haciendo clic en el icono asociado:
Paso 2: escriba el comando PowerShell siguiente para activar las zonas GlobalNames:
Paso 4: haga clic con el botón derecho en el servidor y, a continuación, haga clic en Zona
nueva…:
Paso 7: marque la opción Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: infonovice.priv y haga clic en Siguiente:
Paso 8: marque la opción Zona de búsqueda directa y haga clic en Siguiente:
Llegados a este punto, la zona GlobalNames creada está operativa en lo sucesivo. Para probarla y
verificar su funcionamiento, tendremos que realizar las operaciones siguientes:
Paso 4: haga clic en Examinar... para seleccionar un equipo cliente declarado en una de las
zonas de búsqueda directa, escriba el nombre del alias (ejemplo: TestGlobalNames) que
desea utilizar y haga clic en Aceptar:
Paso 5: abra un símbolo del sistema DOS y escriba el comando siguiente Ping <Nombre
del alias GlobalNames previamente definido>:
Cuando el servicio DNS se encuentra integrado con Active Directory, el asistente de configuración va
a crear automáticamente dos zonas de búsqueda directa:
La zona _msdcs.<Nombre de dominio Active Directory>: esta zona contiene los diferentes
registros a escala del bosque que permiten a los equipos cliente descubrir los controladores
de dominio de la red, los controladores de dominio que implementan el catálogo global, los
servidores Kerberos para la autenticación o el emulador PDC. Esta zona aporta a su vez
información de geolocalización. Asimismo, un usuario asignado a un sitio Active Directory
remoto no tendrá ningún problema para ubicar los recursos cercanos a su sitio.
La zona que lleva el nombre del dominio Active Directory: esta zona contendrá los registros
de los distintos servicios de red, como la zona _msdcs, así como los registros de los clientes
DNS.
6. Seguridad del servicio DNS
Como puede ver, el servidor DNS es un componente muy importante de una red. Su objetivo es
resolver las solicitudes para proporcionar a los clientes la correspondencia entre nombre de dominio
FQDN y dirección IP. Cada solicitud resuelta se almacena, a continuación, en la caché del servidor
DNS. Por este motivo es importante tener en cuenta la seguridad de su mecanismo para evitar que
un individuo malintencionado contamine el DNS (DNS Cache Poisoning) o intercepte los datos
enviados por un servidor DNS. Para proteger y asegurar un servidor DNS, Microsoft pone a
disposición de los administradores de sistemas las herramientas para securizar la caché y firmar,
mediante criptografía, los registros DNS.
La caché DNS permite acelerar el tratamiento de peticiones DNS dentro de una red. La securización
por bloqueo de caché DNS es una funcionalidad aparecida con Windows Server 2012. La función de
bloqueo de caché permite prohibir la actualización de un registro ya existente. De esta forma, una
persona malintencionada no podrá modificar un registro de caché para dirigir a los clientes DNS a
un sitio web fraudulento. Para funcionar, esta opción se basa en la duración de un registro
también llamada TTL (Time To Live).
La función de bloqueo de caché permite de esta forma que un registro no sea eliminado antes de
que expire su duración. Es, no obstante, posible ajustar esta opción indicando en qué momento es
posible sobrescribir un registro DNS en caché mediante una actualización. La opción de bloqueo de
caché está configurada de forma predeterminada con un parámetro fijo del 100%. Esto quiere
decir que un registro DNS en caché no puede ser sobrescrito mientras su duración no haya
expirado.
Para conocer los parámetros de bloqueo de caché de un servidor DNS, basta con escribir el
comando PowerShell siguiente: Get-DnsServerCache
Para configurar el bloqueo de caché DNS, hay que utilizar los comandos PowerShell o DnsCmd
siguientes:
En el ejemplo anterior, se protege contra escritura, los registros de caché hasta que su
duración haya llegado al 60%.
En el ejemplo anterior, se protege contra escritura, los registros de caché hasta que su
duración haya llegado al 50%.
Para reforzar la seguridad de la caché de un servidor DNS Microsoft ha introducido la función del
grupo de sockets DNS. Esta tecnología permite configurar un servidor DNS para que pueda utilizar
un único puerto aleatorio disponible dentro de un intervalo de puertos y de esta forma realizar
peticiones DNS.
Por defecto, el grupo de sockets está disponible dese la instalación del rol de servidor DNS en
Windows Server 2012 R2. Su tamaño inicial tiene un valor fijo en 2500, pero es posible ajustar
este tamaño modificando el parámetro asociado de 0 a 10000. La configuración del grupo de
sockets DNS contiene también una lista de exclusión que comprende un intervalo de puertos
fuente que no se utilizarán.
Los parámetros vinculados al grupo de sockets DNS son los siguientes:
SocketPoolSize
SocketPoolExcludedPortRanges
DnsCmd
El registro de Windows
Escriba el comando siguiente para verificar los parámetros del grupo de sockets:
Escriba el comando siguiente para configurar la lista de exclusión del grupo de sockets:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Base: Decimal
c. Implementar DNSSEC
La seguridad del servicio DNS no se limita solo a su caché. El conjunto de solicitudes enviadas por
un servidor DNS a sus clientes es también vulnerable. Para proteger este flujo de datos, es posible
implementar DNSSEC (Domain Name System Security Extension), un protocolo estandarizado por la
IETF que ha llegado con Windows Server 2012 (esta funcionalidad existía previamente en Microsoft
Windows Server 2008 R2 pero se ha visto mejorada con Windows Server 2012). Esta funcionalidad
aporta un nivel de seguridad adicional permitiendo la firma digital de una zona. Para firmar una
zona DNS, bastará con mostrar el menú contextual de una zona y hacer clic en DNSSEC / Firmar
la zona:
Cuando una zona ha sido firmada por DNSSEC, las peticiones DNS enviadas como respuesta a los
clientes dispondrán de una clave cifrada que certifica que la información proporcionada es correcta
y no se ha visto alterada por una persona malintencionada.
Cuando un servidor DNS no cuenta con la autoridad para el registro solicitado esto le lleva a hacer
una búsqueda recursiva para consultar otros servidores DNS, la implementación de DNSSEC
permite garantizar la integridad de los datos recibidos por otros servidores DNS.
Cuando una zona DNS está firmada digitalmente, todos los registros DNS de la zona se firman
automáticamente. Cada registro de recursos del servidor DNS firmado por DNSSEC se verá
completado por un nuevo registro llamado RRSIG (Resource Record SIGnature). Este registro
contendrá la firma asociada al registro DNS original. Si es necesario actualizar un registro ya
firmado por DNSSEC, es imperativo firmar el nuevo registro después de la modificación.
La firma de una zona crea una clave privada en el servidor y luego almacena una clave pública en
cada registro de recurso (como para una infraestructura PKI con una asociación de claves
públicas/privadas). Este proceso permite a su vez, a los clientes, verificar una respuesta recibida
comparando la clave pública con la clave privada del servidor DNS.
Para que un equipo cliente verifique las respuestas aportadas por un servidor DNS hay que
configurar su tabla de resolución de nombres (NRPT, Name Resolution Policy Table). Una tabla NRPT
contiene el conjunto de reglas de gestión que definen la manera en que un equipo cliente debe
validar las respuestas a peticiones DNS. La configuración de este parámetro en el conjunto de los
equipos cliente de un dominio se puede hacer empleando una GPO (Group Policy Object, u objeto
de directiva de grupo).
Por defecto, al firmar una zona, el servidor DNS sobre el que se realiza la operación se convierte
en el maestro de claves. Esto quiere decir que el servidor DNS realizará la gestión de las claves de
cifrado de la zona.
Los equipos cliente que deseen resolver una respuesta de petición DNS firmada deben poseer la
clave pública de la firma digital. Para recuperar esta clave pública, los equipos cliente podrán hacer
una llamada al nuevo registro DNS llamado DNSKEY. Este registro permite publicar la clave pública
necesaria para descifrar un registro firmado.
La clave privada KSK (Key Signing Key) es una clave de autenticación que permite, como su nombre
indica, firmar otras claves encargadas de firmar una zona.
La clave privada ZSK (Zone Signing Key) es una clave de autenticación que permite, como su
nombre indica, firmar los registros de una zona.
Los registros NSEC (Next Secure): cuando un cliente DNS hace una petición para resolver un
nombre de recurso no existente en el dominio, el servidor DNS no puede firmar la respuesta para
un registro inexistente. Por ello, se emplean los registros NSEC, que permiten firmar las
respuestas realizadas para los registros de recursos que no existen. La firma de estas respuestas
sin seguimiento permite certificar a un cliente que el registro de recursos buscado no existe. El
aspecto negativo de este registro, es que permite la enumeración de los dominios padres. Si un
cliente hace una petición a un nombre de dominio no existente, el registro NSEC creado de esta
forma, empleando un registro RRSIG, deja aparecer sistemáticamente el nombre del dominio padre
y así sucesivamente. Esto puede causar un fallo de seguridad cuando no deseamos que un cliente
pueda enumerar la totalidad de los dominios de una infraestructura. Por este motivo se han
creado los registros NSEC3, con el fin de corregir este fallo de seguridad.
Los registros NSEC3 (Next Secure 3) permiten, al igual que los registros NSEC, firmar las
respuestas de registro no existentes en la zona DNS. La diferencia estriba en el hecho de que este
registro no permite numerar los dominios padre mediante un sistema de cifrado que permite
presentar al cliente solo una parte de la información solicitada.
Para que una infraestructura DNSSEC esté operativa, es necesario que un servidor establezca
relaciones de confianza con el conjunto de servidores DNS que la componen. Para ello, empleamos
un procedimiento llamado Anclaje de veracidad (Trust Anchor). Un anclaje de veracidad define los
servidores o entidades aprobados empleando un registro DNS del tipo DNSKEY o DS que indica
dónde se encuentra la clave pública. Los anclajes de veracidad se guardan en las zonas
especiales, almacenadas en el archivo de configuración TrustAnchors.dns. Los anclajes de
veracidad pueden crearse en la carpeta Puntos de confianza del árbol de la consola DNS.
Get-DnsServer
Si un puesto cliente no está configurado de forma dinámica, habrá que configurar manualmente la
dirección IP así como las distintas opciones de configuración de red que le permiten comunicarse.
Esta operación manual permite configurar una dirección IP en modo estático. Si opta por emplear
direcciones IP estáticas para el conjunto de sus equipos, las acciones repetitivas y manuales de la
configuración de las tarjetas de red son susceptibles de generar errores humanos. La
implementación de un servidor DHCP dentro de una red permite centralizar la configuración IP y, de
esta manera, limitar los riesgos debidos a errores de configuración. Mediante esta herramienta de
administración será posible difundir automáticamente los cambios de configuración de red al
implementar actualizaciones al conjunto de los equipos cliente.
Los clientes DHCP pueden ser de diferentes tipos. Todo periférico susceptible de comunicarse a
través de una red es un cliente potencial de DHCP. Los principales dispositivos DHCP que lo emplean
con mayor frecuencia son: un smartphone (Wi-Fi), una impresora (Ethernet o Wi-Fi), una televisión
conectada (Ethernet o Wi-Fi), un ordenador (Ethernet o Wi-Fi), una consola de videojuegos
(Ethernet o Wi-Fi), un servidor, etc. Los sistemas operativos integran un cliente DHCP, versión 4 o 6
(el cliente DHCPv6 está incluido a partir de Windows Vista), para poder contactar con un servidor
DHCP.
El rol de servidor DHCP (disponible en una instalación completa de Windows o en un servidor Core)
puede implementarse en un servidor independiente del dominio (Standalone), en un servidor
miembro de un dominio, o en un controlador de dominio. Sin embargo, un servidor DHCP instalado
dentro de un dominio, Active Directory o no, debe estar autorizado antes de poder distribuir
direcciones IP en un dominio. Si un administrador olvida autorizar un servidor DHCP, no podrá
distribuir las direcciones IP dentro de un dominio Active Directory.
El proceso de instalación del rol de servidor copiará a su vez el complemento llamado DHCP,
disponible en las herramientas administrativas o una nueva MMC. También es posible instalar estas
consolas en un servidor que no cuente con el componente DNS, o en un puesto cliente como
Windows 8.1 instalando las herramientas de administración RSAT (Remote Server Administration
Tools). Para llamar a esta consola, también podemos escribir el comando dhcpmgmt.msc.
Es posible, también, hacer clic en el botón DHCP de la pantalla de inicio de Windows Server 2012
R2:
Es posible administrar un servidor DHCP mediante la consola gráfica (MMC) o por línea de comandos
Netsh o PowerShell.
Cuando una concesión alcance el 50% de su duración, el cliente DHCP hará una solicitud de
renovación automática. La concesión se renueva, además, al reiniciar el sistema operativo de
manera predeterminada. Por consiguiente, un cliente DHCP que se mantiene conectado a la red está
seguro de conservar la misma dirección IP.
Un servidor DHCP está configurado para escuchar las peticiones de cliente en el puerto 67.
Para obtener una dirección IP, un equipo cliente que utilice el protocolo de red IPv4 efectuará las
siguientes acciones:
1. El equipo cliente envía una solicitud de difusión (Broadcast) con destino a un
servidor DHCP disponible en la red (en el puerto 67 del servidor DHCP). El
mensaje enviado contiene la dirección MAC del equipo solicitante. Esta petición
se llama DHCP-DISCOVER (descubrimiento) y, como su nombre indica, tiene
como objetivo descubrir los servidores DHCP en una red.
Un cliente DHCP Windows registrará por defecto su nombre de host en el servidor DNS asociado a
su configuración IP y el servidor DHCP registrará el PTR (Pointer Records, registro de puntero) del
equipo cliente en el servidor DNS. Cada cliente Windows tendrá en las propiedades de la conexión
de red, un parámetro que indica que el cliente es responsable de registrarse en el servidor DNS.
Cuando la concesión asignada expira, el servidor DNS no borra automáticamente el registro DNS
asociado al equipo cliente. Se puede configurar un servidor DHCP para que gestione el registro de
los nombres de host y los PTR así como la eliminación de los registros DNS cuando las concesiones
han caducado. Bastará con añadir la opción 081 en la configuración del servidor DHCP para que
este último pueda registrar los nombres de host A y los registros PTR.
Todas las tarjetas de red cliente emplean de forma predeterminada el protocolo de red IPv6,
configurando una dirección local llamada Link local. Esta dirección, equivalente a las direcciones
APIPA en el protocolo IPv4, permite comunicar con otros equipos ubicados en la misma red local.
Esta dirección de enlace local no es direccionable desde el exterior de la red.
Con la aparición del protocolo IPv6, las peticiones de difusión ya no se utilizan, dando paso a otros
mecanismos de descubrimiento en la red. A diferencia del protocolo IPv4 que emplea las peticiones
de descubrimiento para localizar un servidor DHCP, el protocolo IPv6 puede llamar a otro protocolo
de red como NDP (Neighbor Discovery Protocol, protocolo de descubrimiento de vecinos). Este
protocolo será el encargado de localizar los diferentes hosts de la red local, en particular los
routers.
Por defecto, un equipo cliente que utilice el protocolo IPv6 empezará configurando su interfaz de
red sin estado (Stateless mode) y tratará de contactar con un router. Si no hay ningún router que
proporcione información de comunicación de red IPv6, la interfaz de red procederá entonces a
realizar una autoconfiguración con estado (Stateful mode) conectando con un servidor DHCPv6.
Para distribuir este tipo de dirección IP hay que comprar un bloque de direcciones IPv6 a través de
un organismo regional o de registro Internet.
Los ámbitos DHCP: esta opción de configuración permite crear un rango de direcciones IP
asociado a una subred. Cada equipo que realice una petición de dirección IP dinámica recibirá
una dirección perteneciente al ámbito configurado. Un ámbito se define mediante un nombre,
una descripción, un rango de direcciones IP a distribuir y una subred. Un ámbito puede,
también, definir un rango de direcciones IP excluidas del rango a distribuir a los clientes, una
duración de concesión, al igual que las opciones DHCP. Un único servidor DHCP puede poseer
varios ámbitos, pero el servidor DHCP debe estar conectado a cada subred y disponer de un
agente de retransmisión DHCP instalado para poder acceder a las demás subredes. Un
ámbito DHCP permite centralizar los parámetros de configuración de red de un equipo cliente.
Para crear un nuevo ámbito hay que hacer clic con el botón derecho en el protocolo a
configurar y, a continuación, en el menú contextual hacer clic en Ámbito nuevo...:
Concesiones de direcciones: las concesiones indican la lista de equipos cliente que han
obtenido una dirección IP. En esta vista, será también posible ver el detalle de cada
concesión concedida, como la dirección IP asignada, el nombre del equipo cliente y la fecha de
expiración.
Reservas: la reserva permite asignar siempre a un cliente la misma dirección IP. Para ver un
ejemplo concreto de este uso específico, permite a un cliente albergar un servicio como un
sitio web, accesible permanentemente en la misma IP. Por lo tanto, si el servicio es accesible
desde el exterior, no habrá ningún problema para hacer una traducción de puertos (NAT) en
el firewall. Para realizar una reserva de dirección IP debemos indicar la dirección IP a reservar
así como la dirección MAC del equipo cliente al que se le asignará.
Para agregar nuevas opciones al ámbito, bastará con hacer clic con el botón derecho
enOpciones de ámbito y, a continuación, hacer clic en Configurar opciones....
Directivas: las directivas permiten asignar una dirección IP a un equipo cliente en función de
ciertos criterios tales como su dirección MAC, su clase de proveedor o usuario, su identificador
o información de agente de retransmisión:
Los superámbitos: permiten agrupar dos o más ámbitos existentes en servidor DHCP dentro
del mismo nombre. Un superámbito agrupa, en este caso, una colección de ámbitos del
servidor DHCP.
Las Opciones del servidor: además de asignar una dirección IP a un cliente, el servidor DHCP
permite distribuir varios parámetros de configuración de red tales como la puerta de enlace
predeterminada, la IP del servidor DNS, el sufijo DNS del dominio, los servidores WINS, etc. Es
posible asignar los parámetros a todos los ámbitos o únicamente a los ámbitos especificados
mediante filtros. También es posible utilizar filtros para aplicar parámetros a los clientes que
tengan reservas de direcciones IP específicas.
Los Filtros: permiten autorizar o denegar la atribución de una dirección IP a un equipo cliente
en función de su dirección MAC. Si los filtros por dirección MAC están activos dentro del
servidor DHCP, solo los equipos cuyas direcciones MAC figuren en la lista de los clientes
autorizados podrán utilizar los servicios ofrecidos por el servidor DHCP.
El servicio DHCP en Microsoft Windows Server 2012 R2 ofrece las siguientes funcionalidades
aparecidas con Windows Server 2012:
La Protección de nombres: permite proteger los registros DNS de los clientes DHCP. En la
práctica, un equipo cliente no Windows puede registrar su nombre de host en un servidor
DNS no seguro. Si el nombre ya existe, se sobrescribe con la nueva información. Para evitarlo,
la función de protección de nombres puede funcionar de forma tal que sea el servidor DHCP
quien realice los registros A y PTR de los clientes DHCP. Si el nombre de host ya existe en el
servidor DNS seguro, la actualización no tendrá lugar.
Para hacer funcionar la opción Protección de nombres, el servidor DHCP utiliza un registro
llamado DHCID (Dynamic Host Configuration IDentifier). Este registro adicional contiene la
información de un host que haya hecho una solicitud de dirección IP antes de que el servidor
DHCP se haya registrado en el servidor DNS. Cuando se hace una nueva solicitud de dirección
IP, el servidor DHCP interroga al servidor DNS para saber si el registro DHCID se corresponde
con un nombre ya registrado. Si el nombre de host existe, el servidor DHCP puede
rápidamente identificar si se trata de la máquina original que creó el DHCID o no. Si no fuera
el caso, el registro DNS no se sobrescribirá. La protección de nombres DHCP es válida para
los protocolos IPv4 e IPv6. Este último puede activarse a nivel del nodo del protocolo
correspondiente en la consola DHCP o a nivel de un ámbito.
Para que la función de Protección de nombres funcione, hace falta que la actualización
dinámica esté habilitada en el servidor DNS.
Los Ámbitos divididos (Split-mode): permiten dividir un ámbito DHCP para que sea
gestionado por dos servidores DHCP diferentes. Para hacer esto, el servidor DHCP sobre el
que ejecutamos la operación conservará el ámbito a gestionar y, a continuación, creará un
ámbito de exclusión con las direcciones IP que gestionará el segundo servidor DHCP. En el
segundo servidor DHCP, el ámbito principal se configurará como ámbito de exclusión y el
ámbito previamente excluido se configurará como un ámbito gestionado por el segundo
servidor DHCP. Esta función tiene como objetivo aumentar la tolerancia a fallos.
En Windows Server 2012 R2, la alta disponibilidad del servidor DHCP funciona con dos servidores
DHCP que sincronizarán sus concesiones de direcciones IP. Esta funcionalidad de conmutación
automática solo funciona con el protocolo IPv4.
La función de conmutación automática por error puede funcionar en dos modos de configuración
diferentes: Espera activa y Equilibrio de carga.
El modo Espera activa: en este modo, es el primer servidor DHCP quien distribuye las
direcciones IP a los clientes mientras que el segundo servidor solo interviene si el primer
servidor deja de responder. El primer servidor DHCP tiene en cuenta la distribución del 95%
de las direcciones IP presentes en el ámbito y el segundo toma el 5% restante.
Cuando el primer servidor no responde, el servidor secundario se hace cargo para entregar
las direcciones IP en el grupo de direcciones IP 5% a su cargo. Cuando se termina el 5% de
las direcciones del grupo de direcciones IP, el segundo servidor gestiona entonces el 100%
del grupo de direcciones. Por defecto, si el servidor DHCP principal está fuera de línea más de
una hora, el segundo servidor DHCP toma el control del rango completo de direcciones IP. Es
posible modificar este valor predeterminado modificando la opción Plazo máximo para
clientes o MCLT (Maximum Client Lead Time).
El modo Equilibrio de carga: en este modo, los servidores DHCP configurados garantizan
cada uno el 50% de la distribución de las direcciones del ámbito. Cuando uno de los
servidores falla, el servidor DHCP restante proporciona el 100% de la distribución de las
direcciones IP del ámbito. Se puede ajustar el porcentaje de gestión de las IP en los dos
servidores (por ejemplo un 80% para el primer servidor DHCP y un 20% para el segundo).
En una infraestructura DHCP con alta disponibilidad, el servicio empleará el puerto TCP 647 para
escuchar el tráfico proveniente del segundo servidor. Al activar esta funcionalidad, el servicio DHCP
creará automáticamente dos reglas de entrada/salida en el firewall para autorizar la escucha en los
puertos TCP.
Para implementar esta funcionalidad, bastará con hacer clic con el botón derecho en el ámbito a
cubrir y, a continuación, hacer clic en Configurar conmutación por error. Por último, será necesario
asignar un servidor asociado para la sincronización de las concesiones de direcciones IP:
Esta última está planificada cada 60 minutos. En función de las necesidades de una
infraestructura, es también posible modificar la planificación por defecto modificando la clave del
registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\
Parameters\BackupInterval
c. Restauración
Una vez restaurada la base de datos el administrador recuperará la configuración de sus ámbitos y
otras opciones de su servidor DHCP tal y como se había guardado antes del accidente.
IPAM
Un administrador de sistemas y redes debe manejar y conocer sus equipos como la palma de su mano. Para hacer esto,
empleará diferentes herramientas que le permitirán inventariar y gestionar su red, su parque de hardware y su software.
La gestión de direcciones IP empleando IPAM (IP Address Management) es una nueva característica de servidor integrada a
partir de Microsoft Windows Server 2012.
Centralizar la gestión de los servicios de red DNS, DHCP, NPS (Network Policy Server) y Active
Directory.
Híbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.
La base de datos IPAM debe purgarse manualmente porque no existen parámetros para
configurar una limpieza automática.
IPAM puede gestionarse mediante la interfaz gráfica del Administrador del servidor o por línea de comandos Windows
PowerShell. Con Windows Server 2012 R2, Microsoft ha agregado 55 nuevos comandos PowerShell para mejorar la gestión y
administración de un servidor IPAM.
Para obtener más información puede consultar el vínculo siguiente:http://technet.microsoft.com/library/jj553807.aspx
La base de datos IPAM está almacenada bajo el nombre ipam.mdf, acompañada del archivo de
registro de transacciones llamado ipam_log.ldf.
El proceso de instalación de IPAM creará automáticamente las reglas de firewall para autorizar al servidor IPAM a
comunicarse con los clientes empleando el puerto de comunicaciones 48885. Para ello, se crearán en el firewall las dos reglas
siguientes:
Se debe utilizar solamente una cuenta de administración del dominio (y no una cuenta local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se cumplan los siguientes
requisitos previos:
Paso 1: abra una sesión en el servidor IPAM-01 y abra la consola Administrador del servidor.
Paso 10: haga clic en Cerrar cuando el aprovisionamiento se haya efectuado correctamente.
Paso 11: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Configurar detección de servidores:
Paso 12: haga clic en el botón Agregar para agregar el dominio infonovice.priv en la lista de
dominios a descubrir.
Paso 13: verifique que los servicios Controlador de dominio, Servidor DHCP y Servidor
DNSestán correctamente marcados y, a continuación, haga clic en Aceptar.
Paso 14: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Iniciar detección de servidores:
Paso 15: una banda amarilla aparece durante la ejecución del descubrimiento de servidores.
Haga clic en Más para ver el detalle de la tarea, a continuación cierre la ventana de detalle
cuando la etapa indique que el descubrimiento de servidores se ha Completado.
Paso 16: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM.
Paso 18: abra un símbolo del sistema PowerShell en el servidor IPAM como administrador y, a
continuación, escriba el siguiente comando:
Paso 19: abra una sesión en el controlador de dominio DC-01, abra la consola de
Administración de directivas de grupo. En el árbol de consola, deberá ver aparecer las tres GPO
siguientes en la raíz del dominio:
GPO-IPAM_DC_NPS
GPO-IPAM_DHCP
GPO-IPAM_DNS
Paso 20: abra una sesión en el servidor IPAM-01 para navegar en la consola Administrador del
servidor IPAM y, a continuación, INVENTARIO DE SERVIDOR. Haga clic con el botón derecho
en el servidor DC-01 y, a continuación, haga clic en Editar servidor....
Paso 22: cambie al servidor DC-01, abra un símbolo del sistema DOS como administrador y
escriba gpupdate /force.
Paso 23: cambie al servidor DC-02, abra un símbolo del sistema DOS como administrador y
escriba gpupdate /force.
Las etapas 22 y 23 tienen como objetivo aplicar las directivas de grupo creadas previamente.
Paso 24: seleccione un servidor, haga clic con el botón derecho y haga clic en Actualizar el
estado de acceso del servidor. Repita la operación en el segundo servidor y pulse a
continuación la tecla [F5] para actualizar la vista. Deberá ver aparecer los dos servidores con un
estado Desbloqueado:
Paso 25: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Iniciar detección de servidores:
Su servidor IPAM está en adelante instalado y listo para ser utilizado para la gestión de direcciones IP de los diferentes
servicios de red DHCP y DNS de su empresa.
La sección Bloques de direcciones IP permite identificar los ámbitos creados en los servidores DHCP gestionados por IPAM.
Esta vista permite visualizar directamente el número de direcciones IP disponibles en cada ámbito, su tasa de utilización así
como el rango de direcciones IP cubierto. Un bloque de direcciones IP comprende un ámbito DHCP que contiene sus
direcciones IP. Cuando seleccionamos un bloque de direcciones IP es posible personalizar su visualización según varias
vistas.
a. Intervalos de direcciones IP
Esta vista permite visualizar los intervalos de direcciones IP que representan los ámbitos configurados en los servidores
DHCP:
Aquí recuperamos el detalle del intervalo de direcciones IP disponible con la dirección IP inicial y la dirección IP final, el
servidor DHCP a cargo de la gestión del ámbito, así como las estadísticas de uso y asignación de las direcciones IP
disponibles en los intervalos de direcciones IP. La asignación de direcciones IP está representada bajo la forma de un
porcentaje de uso del intervalo de direcciones disponible.
A partir de esta vista, podemos crear ámbitos DHCP haciendo clic en TAREAS y, a continuación, enAgregar intervalo de
direcciones IP:
Cálculo de uso: define si las estadísticas de uso del ámbito se calcularán automáticamente
o manualmente por el administrador.
b. Direcciones IP
Esta vista permite visualizar las direcciones IP creadas manualmente o importadas desde un archivo Excel, de cara a
confeccionar un inventario de las direcciones IP utilizadas en la red empresarial.
Es posible crear una dirección IP para inventariar haciendo clic en TAREAS y, a continuación,Agregar dirección IP:
c. Bloques de direcciones IP
Esta vista permite visualizar los diferentes bloques de direcciones IP creados que corresponden a los ámbitos gestionados
en un dominio público o privado.
Es posible crear un bloque de direcciones IP haciendo clic en TAREAS y, a continuación, enAgregar bloque de direcciones
IP:
5. Supervisar y administrar IPAM
Esta sección de IPAM permite supervisar y configurar los servicios de red como DHCP o DNS. Existen varias vistas que
permiten tener acceso rápidamente a los diferentes elementos de configuración.
En esta vista podemos verificar el estado de los servicios DNS y DHCP y acceder a los principales parámetros de
configuración haciendo clic con el botón derecho en cada servidor.
También será posible crear un ámbito DHCP, modificar las opciones de un servidor DHCP o finalmente sus diferentes
propiedades.
Si desplegamos el menú contextual de un servidor DNS será incluso posible arrancar la consola MMC de administración de
un servidor DNS:
b. Ámbitos DHCP
En esta vista podemos visualizar los ámbitos creados en el servidor DHCP. También es posible configurarlos o duplicarlos
para crear un nuevo ámbito, que podremos modificar:
d. Grupos de servidores
Igual que con la vista Servidores DHCP y DNS, esta vista permite ver el conjunto de servidores asociados al servicio de red
gestionado por IPAM. Con la diferencia de que es posible, esta vez, crear grupos lógicos que permiten identificar los
servicios por zona geográfica, roles, entidades, o según los criterios definidos por un administrador:
6. Catálogo de eventos
Esta sección agrupa simplemente el registro de eventos de los diferentes cambios de configuración de los servicios de red
empleando IPAM. Esto permite registrar los responsables de las posibles modificaciones de la infraestructura para identificar
rápidamente qué se ha modificado en la configuración y, especialmente quién lo ha modificado:
También es posible realizar un seguimiento de las direcciones IP gracias a los eventos de BAIL. De este modo, será posible
recuperar fácilmente información del tipo: ¿qué usuario ha recibido qué dirección IP y en qué puesto?
Trabajos prácticos
La empresa INFONOVICE desea crear un departamento informático dedicado con un dominio
Active Directory. Para ello, solicita sus servicios para instalar los controladores de dominio y
configurar los principales componentes de red tales como DNS, DNSSEC, DHCP e IPAM.
OXYLIVE es una nueva filial. Los equipos cliente de la empresa INFONOVICE deberán poder
resolver los nombres de equipo que albergan los recursos en el dominio de esta filial.
El servicio DHCP deberá configurarse para cambiar a un servidor DHCP de seguridad en caso de
error.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Máscara de subred:255.255.255.0
Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
características.
Paso 2: haga clic en Siguiente:
Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en DNS:
Paso 14: seleccione Zona de búsqueda inversa para IPv4 y haga clic en Siguiente:
Paso 15: introduzca el ID de red 192.168.0 y haga clic en Siguiente:
Paso 19: agregar el rol de servidor AD DS para crear un nuevo bosque cuyo dominio raíz
seráinfonovice.priv:
Paso 20: marque la opción Crear delegación DNS e indique la información de conexión de la
cuenta Administrador local del servidor:
Complete las siguientes ventanas para poder instalar Active Directory.
Paso 1: una vez instalado el dominio Active Directory, vaya a la pantalla de inicio y haga clic
enDNS:
Paso 9: en las propiedades de la zona, seleccione las actualizaciones dinámicas Solo con
seguridad:
Paso 3: despliegue el menú contextual y haga clic en Establecer caducidad/borrado para todas
las zonas…:
Paso 4: marque la opción Borrar registros de los recursos obsoletos y haga clic en Aceptar:
Paso 5: marque la opción Aplicar esta configuración a las zonas integradas en Active
Directory existentes y haga clic en Aceptar:
Paso 6: despliegue de nuevo el menú contextual del servidor DNS y, a continuación, haga clic
enPropiedades:
Paso 4: informe el nombre DNS del dominio Active Directory de la empresa OXYLIVE, es
deciroxylive.local, en el campo Dominio DNS. A continuación, escriba la dirección IP de un servidor
DNS del dominio oxylive.local, es decir 192.168.0.105 y haga clic en Aceptar:
Paso 5: en el servidor DNS del dominio oxylive.local OXYDC- 01, cree un registro DNS de tipo
CNAME llamado archivos con dirección IP 192.168.0.105:
Paso 6: marque la opción El servidor DNS DC-01 es el maestro de claves y haga clic
enSiguiente:
Paso 7: haga clic en Siguiente:
Paso 13: verifique los parámetros de la clave de autenticación (ZSK) y, a continuación, haga clic
en Aceptar:
Paso 14: haga clic en Siguiente:
Paso 15: marque la opción Usar NSEC3 y, a continuación, haga clic en Siguiente:
Los parámetros de iteraciones y salt permiten limitar los ataques por diccionario o por fuerza
bruta para descifrar la encriptación.
Paso 19: verifique que la zona seleccionada incluye un pequeño logotipo en forma de candado
que indica que la zona está firmada y, a continuación, que los
registros RRSIG, DNSKEY yNSEC3 se han creado correctamente:
Paso 20: podemos constatar que después de la firma de la zona se han creado dos archivos en
la carpeta %SYSTEMROOT%\System32\dns: dsset-infonovice.priv y keyset-infonovice.priv.
Paso 1: en la pantalla de inicio de Microsoft Windows Server 2012 R2, haga clic en el
iconoAdministración de directivas de grupo:
Paso 2: despliegue el árbol y seleccione el objeto de directiva de grupo (GPO) llamado Default
Domain Policy:
En la pestaña DNSSEC, marque las opciones Habilitar DNSSEC en esta regla y Requerir a
los clientes DNS que comprueben que el servidor DNS haya validado el nombre y la
dirección.
Paso 6: verifique que la regla creada previamente figura en la tabla de directiva de resolución de
nombres (NRPT) y haga clic en Aplicar:
Paso 7: cierre el editor de administración de directivas de grupo y ejecute el comando
DOSgpupdate /force.
Paso 8: conéctese al equipo CLIENT1, abra una ventana DOS y ejecute el comando gpupdate
/force. Esta operación tiene como objetivo actualizar las directivas de seguridad del dominio.
Paso 9: siempre en el equipo CLIENT1, abra una ventana PowerShell y escriba el
comando Resolve-dnsname -name CLIENT1.infonovice.priv -type dnskey -
server DC-01 -dnssecok. De esta forma interrogamos los registros DNSSEC de la
zonainfonovice.priv.
Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
características:
Paso 12: en el panel de la consola Administrador del servidor, haga clic en el panel de
información amarillo con un signo de exclamación y haga clic en Completar configuración de
DHCP:
Paso 13: haga clic en Siguiente:
Paso 14: haga clic en Confirmar para autorizar el servidor DHCP en Active Directory:
Paso 15: haga clic en Cerrar:
El servicio DHCP está en adelante instalado y autorizado en Active Directory para la distribución
de direcciones IP en la red.
Paso 16: repita los pasos 1 al 15 para instalar el rol de servidor DHCP en el servidor DC-02.
Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el
iconoDHCP:
Paso 8: deje la duración de concesión DHCP por defecto y haga clic en Siguiente:
Paso 9: marque la opción Configurar estas opciones ahora y haga clic en Siguiente:
Paso 5: conéctese al equipo CLIENT1 y verifique que la tarjeta de red está configurada para
recibir una dirección IP de forma automática. A continuación, escriba el comando ipconfig
/renew.
Paso 6: escriba el comando ipconfigy verifique que la dirección IP es 192.168.0.155.
Paso 6: marque la opción Este servidor DHCP autorizado, seleccione el servidor DHCP dc-
02.infonovice.priv y haga clic en Aceptar:
Paso 7: verifique que está seleccionado algún servidor asociado y haga clic en Siguiente:
Paso 10: asegúrese que cada etapa de verificación de la conmutación por error se lleva a cabo
correctamente y, a continuación, haga clic en Cerrar:
Paso 11: en el árbol de consola, seleccione DHCP y haga clic en Agregar servidor...:
Paso 12: marque la opción Este servidor DHCP autorizado, seleccione el servidor dc-
02.infonovice.priv y haga clic en Aceptar:
Paso 13: despliegue el árbol del servidor dc-02.infonovice.priv hasta el protocolo IPv4 para
verificar que el ámbito creado en el servidor DC-01 se ha replicado correctamente:
Paso 14: abra una sesión en el equipo CLIENT1 y, a continuación, despliegue los detalles de
conexión de la tarjeta de red. Identifique y recuerde la dirección IP del servidor DHCP IPv4:
Paso 15: cambie al servidor DC-01 y, a continuación, en la consola DHCP, detenga el servicio en
el servidor dc-01.infonovice.priv:
Paso 16: cambie de nuevo al equipo CLIENT1 y ejecute los siguientes comandos DOS:ipconfig
/releasee ipconfig /renew.
Paso 17: abra las propiedades de la tarjeta de red para confirmar que el servidor DHCP IPv4 ha
cambiado correctamente al servidor de espera activa ubicado en dc-02.infonovice.priv
(192.168.0.101):
Resumen del capítulo
A lo largo de este capítulo hemos podido ver todos los aspectos de los servicios de red avanzados de
Microsoft Windows Server 2012 R2. Se podría resumir de la manera siguiente:
Los servidores DNS permiten realizar la correspondencia entre un nombre de dominio y una
dirección IP.
Los servidores DNS de Internet están estructurados según una jerarquía donde la raíz está
representada por un punto.
El borrado de los registros DNS no está activado de forma predeterminada. Hay que hacerlo
manualmente.
Un servidor DNS posee varias zonas. Las zonas de búsqueda principales, secundarias, de
búsqueda inversa, de rutas internas o GlobalNames.
Un servidor DHCP asigna las direcciones IP a los clientes que realizan una petición.
1. Preguntas
1 ¿Para qué sirve un servidor DNS?
5 ¿Cuáles son los dos modos de funcionamiento de la conmutación por error automática en caso
de fallo de un servidor DHCP?
6 ¿Se realiza copia de seguridad de un servidor DHCP de forma automática por defecto o es
necesario configurar una directiva de copia de seguridad manualmente?
13 Su red cuenta con dos servidores de correo electrónico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. ¿Qué servidor de correo
electrónico contactarán los usuarios para enviar e-mails?
17 ¿Qué comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?
18 ¿Qué comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 ¿Para qué sirve un servidor DNS?
Un servidor DNS permite realizar la correspondencia entre nombres de dominio y direcciones IP.
Cuando un cliente solicita una dirección IP a un servidor DHCP obtiene una concesión con una
validez de 8 días.
5 ¿Cuáles son los dos modos de funcionamiento de la conmutación por error automática en caso
de fallo de un servidor DHCP?
La función de conmutación automática por error puede funcionar en dos modos de configuración
diferentes: Espera activa y Equilibrio de carga.
6 ¿Se realiza copia de seguridad de un servidor DHCP de forma automática por defecto o es
necesario configurar una directiva de copia de seguridad manualmente?
Híbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.
Centralizar la gestión de los servicios de red DNS, DHCP, NPS (Network Policy Server) y
Active Directory.
El servidor IPAM debe ser m iem bro de un dom inio (y no controlador de dominio).
Se debe utilizar solamente una cuenta de administración del dominio (y no una cuenta
local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se
respeten los siguientes requisitos previos:
Para eliminar el contenido de la caché DNS de un equipo cliente basta con escribir el comando
siguiente: ipconfig /flushdns
Los registros DNS de tipo MX permiten indicar los servidor de correo electrónico de la red.
13 Su red cuenta con dos servidores de correo electrónico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. ¿Qué servidor de correo
electrónico contactarán los usuarios para enviar e-mails?
Para enviar e-mails, se contactará primero con el servidor A porque, cuanto mayor es el número
que indica la prioridad de un servidor de correo electrónico, menor es su importancia.
Los reenviadores de un servidor DNS permiten indicar a qué servidores DNS reenviar las peticiones
que no se han podido resolver.
Los reenviadores condicionales permiten redirigir las peticiones DNS de un dominio en particular a
los servidores que cuenten con autoridad para la zona.
17 ¿Qué comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?
Para hacer una copia de seguridad de una zona DNS integrada en Active Directory basta con
ejecutar el comando dnscmd siguiente: dnscmd /ZoneExport infonovice.priv
Infonovice.BackupZone
18 ¿Qué comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?
Para hacer una copia de seguridad de una zona DNS integrada en Active Directory, basta con
ejecutar el comando Windows PowerShell siguiente: Export-DnsServerZone -Name
infonovice.priv -Filename Infonovice.BackupZone
Requisitos previos y objetivos
1. Requisitos previos
Conocer las bases de un sistema de archivos NTFS.
2. Objetivos
Conocer los diferentes sistemas de archivo gestionados por Windows.
Servicios de almacenamiento
Los siguientes servicios se instalan cuando compartimos archivos o cuando se promueve un servidor
a controlador de dominio:
Servidor de archivos
Estos roles y características permiten, también, tener un servidor de archivos de forma nativa listo
para almacenar y compartir datos con los usuarios y equipos de la red.
Cada volumen o partición montado en el sistema operativo puede estar formateado en uno de los
sistemas de archivo siguientes:
Compartir datos
Implementar cuotas
Implementar instantáneas
Espacio de nombres DFS (gestión de los espacios de nombres para las carpetas
compartidas).
En la consola Administrador del servidor es posible ver, de un solo vistazo, el estado del
rolServicios de archivos y de almacenamiento partiendo del panel:
Eventos: provee un acceso directo al Visor de eventos para observar posibles registros de
error, críticos o advertencias, vinculados al rol Servicios de archivos y almacenamiento.
Servicios: muestra los detalles sobre el estado de los servicios Windows vinculados al rol
del servidor.
Rendimiento: muestra una vista del visor de rendimiento para consultar el uso de los
recursos procesador y memoria vinculados al rol del servidor.
Formatear
Inicializar un disco
Un grupo de almacenamiento es una agrupación de varios discos físicos que permite crear
discos virtuales. Estos discos se ven como discos lógicos por el sistema operativo y podemos
crear en ellos particiones.
Recurso compartido SMB (Server Message Block): crea un recurso compartido utilizando el
protocolo SMB.
Recurso compartido NFS (Network File System): crea un recurso compartido utilizando el
protocolo NFS.
iSCSI: permite gestionar los discos virtuales iSCSI, con la condición de agregar el rol de
servicio Servidor de destino iSCSI.
Iniciador iSCSI
Esta consola permite gestionar las conexiones a los grupos de almacenamiento iSCSI.
Es posible visualizar y añadir roles y servicios de rol dedicados al almacenamiento desde la consola
Administrador del servidor. Microsoft Windows Server 2012 R2 gestiona los roles y los siguientes
servicios dedicados al rol Servicios de iSCSI y archivos:
Servidor de archivos
Desduplicación de datos
Carpetas de trabajo
Replicación DFS
Para verificar la presencia del rol Servidor del servicio de archivos y almacenamiento:
Para verificar la presencia de los servicios del rol Servicio de archivos y almacenamiento:
El rendimiento de una infraestructura iSCSI en una red Ethernet es menor en comparación con la
tecnología SAN en una red de fibra óptica. Por este motivo, no es recomendable emplear una
infraestructura iSCSI en un entorno de producción, sino mejor en el marco de una maqueta o un
laboratorio de pruebas. Las mejores prácticas de Microsoft recomiendan el uso de una red Gigabit
para el despliegue de una infraestructura iSCSI.
Este protocolo de almacenamiento de red funciona en modo cliente/servidor. Los clientes se llaman
iniciadores y se benefician de la consola de administración Iniciador iSCSI, disponible en las
herramientas administrativas:
La consola Iniciador iSCSI funciona de manera conjunta con un servicio Windows llamado Servicio
del Iniciador iSCSI de Microsoft:
Este servicio se instala por defecto al instalar el sistema operativo, pero debe arrancarse con la
primera ejecución de la consola:
Si el servicio Iniciador iSCSI de Microsoft no está arrancado, no es posible configurar la conexión a
un servidor de destino iSCSI. Una vez configurado, el cliente envía los comandos iSCSI a los
servidores de destino empleando la red IP utilizando el puerto de comunicaciones
predeterminado3260. Este servicio utiliza el archivo C:\Windows\System32\iscsiexe.dll para
gestionar el descubrimiento y las conexiones a los servidores de destino.
Durante la conexión de un cliente iniciador mediante una tarjeta de red Ethernet, el sistema
operativo utiliza un controlador de sistema encargado de transportar los datos de la pila de
almacenamiento a la pila de red. Este controlador se almacena en la siguiente
ubicación:C:\Windows\System32\Drivers\msiscsi.sys.
Infraestructura iSCSI:
Para implementar la alta disponibilidad en una infraestructura iSCSI, los clientes iniciadores pueden
configurarse con varias rutas de acceso a los servidores de destino. Al no poder contar con
conmutadores para redes de fibra óptica, una red Gigabit será muy apreciada para conservar las
mínimas ganancias de rendimiento.
Para que un cliente que utiliza la consola Iniciador iSCSI pueda comunicarse con un dispositivo de
almacenamiento que emplee el servicio de rol Servidor de destino iSCSI, el administrador debe
configurar en los servidores de destino identificadores únicos llamados IQN (iSCSI Qualified Name).
Si la resolución de nombres de los servidores de destino no está disponible empleando los IQN,
también es posible configurar la consola Iniciador iSCSI indicando la dirección IP o el nombre FQDN
de los servidores de destino.
Una infraestructura iSCSI funciona perfectamente con las aplicaciones que necesitan
almacenamiento por bloque tales como los hipervisores Citrix XenServer, VMware vSphere (ESX) o
Microsoft Hyper-V.
Clientes: el administrador utiliza la consola Iniciador iSCSI para configurar las conexiones
a los servidores de destino. Esta consola se instala por defecto con el sistema operativo a
partir de Windows Server 2008. Para asegurar la alta disponibilidad de una infraestructura
iSCSI, la consola Iniciador iSCSI es capaz de gestionar 32 rutas de acceso diferentes a los
servidores de destino empleando la tecnología Microsoft MPIO (Multipath I/O).
La consola Iniciador iSCSI presenta dos funcionalidades a partir de Windows Server 2012:
Solicitud de ID (no funciona con las versiones del sistema operativo anteriores a
Windows 8 para los clientes y Windows Server 2012 para los servidores): permite
identificar de forma más sencilla un cliente iSCSI agregando automáticamente el ID de
iniciador (IQN) a un host seleccionado en el dominio.
3. Almacenamiento NFS
Inicialmente la tecnología NFS (Network File System) consistía en instalar un servidor de archivos
para compartir los datos entre servidores UNIX/Linux utilizando el protocolo de transporte TCP/IP
para el transporte de los datos. Hoy en día, NFS existe también en los sistemas operativos Windows
o Macintosh, para compartir datos con servidores UNIX/Linux.
En Microsoft Windows Server 2012 R2, la implementación de un servidor NFS se realiza a través del
servicio de rol Servidor para NFS. Para un equipo que ejecute el sistema operativo Windows
Server 2012, la conexión a una cabina de almacenamiento NFS se realiza utilizando la característica
de servidor Cliente para NFS.
4. Almacenamiento DAS
La tecnología de almacenamiento DAS (Direct Attached Storage) corresponde a la conexión de un
dispositivo de almacenamiento directamente a un servidor, sin pasar por la red. Todo disco interno,
externo o extraíble (por ejemplo un dispositivo USB como una llave o tarjeta de memoria) es
considerado como un almacenamiento DAS, es decir directamente conectado al servidor.
5. Almacenamiento NAS
La tecnología NAS (Network Attached Storage) corresponde a un servidor de archivos donde los
volúmenes o carpetas se comparten a través de la red mediante protocolos de compartición tales
como CIFS (Common Internet File System) o SMB (Server Message Block).
Optimizar el uso del almacenamiento
Hoy en día, todas las empresas poseen en sus infraestructuras informáticas un servidor de archivos
que los administradores deben gestionar para optimizar el acceso de los usuarios. Este capítulo
detalla lo esencial de las funcionalidades vinculadas a la gestión de un servidor de archivos para
optimizar mejor los datos almacenados en la red.
a. Funcionamiento FSRM
Al agregar el servicio de rol FSRM se agrega la consola Administrador de recursos del servidor de
archivos en las herramientas administrativas:
Esta consola de administración es un complemento llamado fsrm.msc, accesible desde una MMC.
Este complemento se almacena en la ubicación siguiente: %Windir%\system32\fsrm.msc
b. Administración FSRM
Administración de cuotas
Administración de clasificaciones
2. Administración de cuotas
La sección Administración de cuotas de la consola Administrador de recursos del servidor de
archivos permite implementar la funcionalidad de cuotas en el servidor de archivos. Las cuotas
permiten limitar el uso del espacio en disco de un volumen lógico o de una carpeta:
Al implementar cuotas en un volumen, todas las nuevas carpetas creadas en él tendrán una
limitación relativa al espacio en disco disponible. Las plantillas de cuota agrupan plantillas
predefinidas de reglas de cuota aplicables directamente en un volumen o archivo.
Cuota máxima: esta opción permite impedir a los usuarios superar el límite de
almacenamiento fijado por el administrador.
Cada cuota puede configurarse con un umbral de notificación que advierte al administrador cuando
el espacio de almacenamiento de un volumen o carpeta se ha alcanzado. Es posible enviar una
alerta por e-mail o empleando el visor de eventos automáticamente cuando el espacio en disco
disponible alcanza un umbral definido en función del porcentaje de espacio en disco utilizado.
Para crear una cuota en la carpeta C:\Compartir para que los usuarios de la red no puedan
almacenar más de 3 MB de datos, bastará con realizar el siguiente procedimiento:
Haga clic con el botón derecho en Cuotas y, a continuación, haga clic en Crear cuota.
En la ventana Crear cuota haga clic en Examinar en la sección Ruta de acceso de cuota.
Marque la opción Guardar la cuota personalizada sin crear una plantilla y haga clic
enAceptar.
Para crear una plantilla de cuota que permita a los usuarios de red almacenar 1 GB de datos en
una carpeta determinada dentro del servidor de archivos, basta con realizar el siguiente
procedimiento:
Haga clic con el botón derecho en Plantillas de Cuota y, a continuación, haga clic en Crear
plantilla de cuota.
También será posible crear una nueva cuota empleando este modelo predefinido.
Al implementar una regla de filtrado en una carpeta, se excluirán automáticamente todos los
archivos nuevos que se correspondan con la regla creada y asignada a la carpeta. Las plantillas de
cuota agrupan plantillas predefinidas de filtrado de archivos que pueden aplicarse directamente en
un volumen o archivo:
Con una regla de filtrado es posible prohibir que se almacenen archivos de los siguientes tipos,
agrupados en la sección Grupos de archivos:
Es posible configurar el filtrado de archivos de una carpeta o de un volumen empleando una regla de
filtrado de dos maneras distintas:
Filtrado activo: esta opción permite impedir a los usuarios almacenar los archivos no
autorizados detallados en la regla de filtrado.
Filtrado pasivo: esta opción permite a los usuarios almacenar los archivos no autorizados
por el administrador. La ausencia de bloqueo permite analizar el uso del almacenamiento de
los archivos con la posibilidad de editar los informes. Estos informes permiten detallar
aquellos usuarios que almacenan archivos no deseados en la red.
Las reglas de filtrado determinan así el tipo de archivos que los usuarios pueden almacenar en la
red.
Para crear un filtro de archivos que permita excluir automáticamente los contenidos de tipo audio y
vídeo en el servidor de archivos, basta con realizar el siguiente procedimiento:
Haga clic con el botón derecho en Filtros de archivos y, a continuación, haga clic en Crear
filtro de archivos.
En la ventana Crear filtro de archivos, haga clic en Examinar de la sección Ruta de acceso al
filtro de archivos.
Para crear una plantilla de filtro de archivos que nos permita prohibir el almacenamiento de
archivos de tipo AutoCAD, bastará con seguir el procedimiento siguiente:
Haga clic con el botón derecho en Plantillas de filtro de archivos y, a continuación, haga clic
en Crear plantilla de filtro de archivos.
En esta vista es posible ver que la plantilla de filtro llamada Bloquear archivos AUTOCAD
emplea un filtrado de tipo Activo y utiliza el grupo de archivos llamado Archivos AUTOCAD.
Una vez creada la plantilla de filtro, puede crear un filtro de archivos que empleará la plantilla
de filtro Bloquear archivos AUTOCAD. Los usuarios no podrán almacenar ningún archivo de
extensión *.dwg o *.dxf en las carpetas cubiertas por el filtro.
4. Administración de la clasificación
La sección Administración de clasificaciones de la consola Administrador de recursos del servidor
de archivos permite definir reglas de clasificación de cara a configurar las propiedades de los
archivos o carpetas almacenados en el servidor a partir de condiciones definidas por el
administrador.
Las reglas de clasificación: permiten examinar los datos de un servidor para modificar las
propiedades de clasificación en función del contenido.
De esta forma es posible asignar una propiedad de clasificación a un objeto almacenado si contiene,
por ejemplo, una palabra determinada. Estas propiedades de clasificación se pueden utilizar para
otras funciones de Windows Server 2012 R2 como el control de acceso dinámico. La clasificación de
archivos ya existía en Windows Server 2008 R2. El sistema operativo Windows Server 2012 aporta
sin embargo algunas novedades, como por ejemplo la posibilidad de personalizar el error mostrado
en la pantalla cuando un usuario no puede acceder a un recurso que posee un tipo de clasificación
que indica que los archivos están reservados estrictamente a la dirección.
Para poner en práctica el uso de la clasificación de archivos podemos, por ejemplo, tomar la carpeta
C:\Compartir y crear un conjunto de archivos de texto que contengan diferentes valores. Crearemos
a continuación un archivo de texto llamado C:\Compartir\Documentos.txt que contenga las palabras
"DIRECCIÓN INFONOVICE". Vamos también a crear una propiedad de clasificación y una regla de
clasificación que permita examinar los archivos de texto de la carpeta C:\Compartir. Si el examen
descubre la cadena "DIRECCIÓN INFONOVICE", la regla de clasificación asignará el valor
"VERDADERO" a la propiedad de clasificación creada.
Para crear una propiedad de clasificación del tipo VERDADERO/FALSO para saber si el archivo
examinado contiene la frase "DIRECCIÓN INFONOVICE", basta con realizar el procedimiento
siguiente:
Haga clic con el botón derecho en Propiedades de la clasificación y, a continuación, haga clic
en Crear propiedad local.
Para crear una regla de clasificación aplicable sobre un conjunto de datos respetando la propiedad
de clasificación "DIRECCIÓN INFONOVICE", basta con seguir el procedimiento siguiente:
Haga clic con el botón derecho en Reglas de clasificación y, a continuación, haga clic en Crear
regla de clasificación.
6. Desduplicación de datos
La desduplicación de datos es un servicio de rol del Servicio de archivos y almacenamiento. La
desduplicación de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad. Para ahorrar espacio en el almacenamiento asignado, esta función elimina los duplicados
conservando una única copia y sustituyendo los duplicados por enlaces simbólicos que hacen
referencia al archivo guardado.
Para agregar este componente, basta con abrir el Administrador del servidor, hacer clic
enAgregar roles y características y, a continuación, marcar el servicio de rol siguiente: Servicio
de archivos y almacenamiento - Servicios de iSCSI y archivo - Desduplicación de datos.
Para instalar la desduplicación de datos empleando PowerShell, basta con escribir el comando
siguiente:
En esta ventana, también es posible seleccionar las carpetas a excluir del proceso de
desduplicación para que el contenido no sea tenido en cuenta. El botón Establecer programación
de desduplicación permite planificar la ejecución del proceso en un periodo de la semana bien
definido. También es posible seleccionar los días de ejecución y la hora de inicio del proceso de
desduplicación.
Para activar la desduplicación empleando PowerShell, basta con escribir el comando siguiente:
c. Verificar la desduplicación
Para validar que el proceso de desduplicación de datos ha funcionado, basta con realizar el
procedimiento siguiente:
Verifique el tamaño del archivo ALTools.exe en cada carpeta. En las propiedades del archivo, el
tamaño en el disco deberá ser más pequeño que al principio.
BranchCache
BranchCache es una tecnología de Microsoft que permite reducir el tráfico de red WAN (Wide Area
Network) entre los sitios, permitiendo alojar en caché aquellos archivos que se utilicen con mayor
frecuencia.
1. Presentación de BranchCache
La tecnología BranchCache apareció con el sistema operativo Windows Server 2008 R2 y el cliente
Windows 7. La necesidad se ha acrecentado con el aumento de las estructuras que funcionan con
sitios remotos (sucursales, usuarios desplazados, anexos...) donde los servidores de la
infraestructura no se encuentran dentro de la empresa. Cada usuario que desea acceder a los
recursos alojados en un sitio remoto puede sufrir lentitud y problemas de velocidad a través de una
conexión de red remota.
SMB (Server Message Block): este protocolo lo utilizan los recursos compartidos en una red
Microsoft. Cualquier recurso consultado por un usuario remoto a través de un recurso
compartido de red puede almacenarse, potencialmente, en caché si se ha implementado
BranchCache.
BITS (Background Intelligent Transfer Service): este protocolo lo utilizan las aplicaciones (por
ejemplo: Windows Update) para transferir en segundo plano los datos de un servidor a los
clientes utilizando los momentos en los que el ancho de banda demandado es menor. Los
datos transferidos a través del componente Windows BITS pueden almacenarse en caché en
una infraestructura BranchCache.
Cuando un usuario intenta leer el contenido de un recurso empleando uno de estos protocolos,
BranchCache se encarga de poner en caché el archivo en caso de que otro usuario de la red lo
necesite. A día de hoy, solo los clientes Windows 7, 8 u 8.1 pueden utilizar las características de
BranchCache instaladas en los servidores Windows Server 2008 R2, Windows Server 2012 o
Windows Server 2012 R2. El uso de la funcionalidad BranchCache reduce de esta forma el tráfico en
las redes WAN garantizando una buena conexión entre sitios.
a. Funcionamiento de BranchCache
Los clientes que ejecuten el sistema operativo Windows 7, Windows 8 o Windows 8.1 poseen un
cliente nativo BranchCache configurado como un servicio Windows. Por defecto, este servicio se
encuentra detenido y el tipo de arranque está configurado como Manual.
Cuando se crea una directiva de grupo para activar BranchCache en los equipos cliente Windows 8
u 8.1 el servicio Windows arranca en un modo de funcionamiento de caché hospedada. Esto quiere
decir que los clientes comienzan buscando un servidor de caché en la red local. Si el servidor de
caché no existe, los clientes cambian al modo de funcionamiento de caché distribuida. Esta
configuración automática de los clientes Windows puede configurarse mediante una GPO para
definir previamente el modo de caché distribuida u hospedada.
b. Administración de BranchCache
Para utilizar BranchCache en los equipos cliente, debemos primero activarlo. La activación de esta
característica se puede realizar por tres métodos:
Directivas de grupo (GPO): bastará con editar una GPO vinculada a una UO que contenga
los equipos deseados. Los parámetros de activación de BranchCache y configuración del
modo de caché se encuentran en la siguiente ubicación: Configuración del equipo -
Directivas - Plantillas administrativas - Red - BranchCache.
Get-BCClientConfiguration
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché hospedada:
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché distribuida:
Enable-BCDistributed
Configurar un servidor para convertirse en servidor de caché y registrar el punto de
conexión de servicio (SCP - Service Connection Point) en Active Directory:
Enable-BCHostedServer -RegisterSCP
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché hospedada:
No es posible aplicar los comandos netsh si alguna GPO ha configurado previamente el modo
de caché a emplear para el host definido.
Cuando los equipos cliente utilizan el modo de caché hospedada, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 80:
Detección del mismo nivel de BranchCache: permite la detección de los equipos cliente
que albergan contenido en caché empleando el protocolo WS-Discovery.
Cuando los equipos cliente utilizan el modo de caché distribuida, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 3702.
Publicación de Hash
Cuando un servidor de archivos posee el rol "BranchCache para archivos de red", es posible crear
una directiva de grupo con el objetivo de generar tablas de dispersión (hash) para los datos
compartidos (las tablas de dispersión (hash) representan información del contenido).
2. Modo de caché
Es posible configurar una infraestructura BranchCache según dos modos de caché. Caché
hospedada o caché distribuida. Es posible utilizar ambos modos al mismo tiempo en una
infraestructura de red compleja, pero solo uno de los dos modos puede estar activo en cada sitio
remoto.
El modo de caché distribuida consiste en autorizar a los equipos cliente a escribir en la caché local
de su disco una copia de los recursos consultados en el servidor de archivos de la central (funciona
también cuando se trata de un acceso http/https a un servidor Web). Este modo de escritura en
caché no requiere un servidor de caché en el sitio remoto. No es aconsejable utilizar este modo de
la tecnología BranchCache salvo que el sitio remoto cuente con pocos equipos de usuario.
2. El archivo solicitado por el usuario se descarga a la caché local del equipo cliente
y el usuario accede a su archivo.
3. Implementar BranchCache
Para implementar BranchCache configurando los equipos cliente de los sitios remotos para utilizar
esta tecnología hay que configurar las directivas de grupo o ejecutar los comandos PowerShell o
Netsh en cada equipo.
Para configurar BranchCache empleando directivas de grupo, hay que editar la sección siguiente de
la GPO: Configuración del equipo - Directivas - Plantillas administrativas - Red - BranchCache.
Activar BranchCache.
Los equipos cliente ubicados en un sitio remoto se beneficiarán de un servidor de caché que
permite mejorar los tiempos de acceso a aquellos archivos utilizados con mayor frecuencia.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Disco de datos: 30 GB
Paso 1: en el servidor ISCSI-01, abra el Administrador del servidor y haga clic en Agregar roles
y características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, seleccione el tipo de
instalación y el servidor de destino.
Paso 3: en la ventana Seleccionar roles de servidor, despliegue el árbol del rol Servicios de
archivos y almacenamiento, marque a continuación la opción correspondiente al servicio de
rolServidor del destino iSCSI. Cuando el pop-up Agregar características para el Servidor del
destino iSCSI aparezca, haga clic en Agregar características y haga clic en Siguiente:
Paso 6: en el panel del Administrador del servidor, haga clic en Servicios de archivos y
almacenamiento. A continuación, seleccione iSCSI.
Paso 7: en la sección Disco virtual iSCSI haga clic en Tareas y, a continuación, en Nuevo disco
virtual iSCSI.
Paso 10: escriba 10 GB para el tamaño del disco virtual y, a continuación, haga clic en Siguiente:
Paso 11: seleccione Nuevo destino iSCSI y haga clic en Siguiente.
Paso 14: en la ventana Agregar id. de iniciador, seleccione la opción Consultar el id. al equipo
de iniciador en el equipo iniciador y haga clic en Examinar.
Paso 15: en la ventana Seleccionar Equipo, escriba el nombre del servidor DC-01 y, a
continuación, haga clic en Aceptar dos veces.
Paso 16: se genera el IQN del servidor iniciador, a continuación haga clic en Siguiente (recuerde
apunta el IQN generado para el resto del taller).
Paso 17: en la ventana Habilitar autenticación, haga clic en Siguiente y, a continuación, haga
clic en Crear:
Paso 18: una vez creado el disco virtual, haga clic en Cerrar.
Repita las etapas 6 a 18 para crear el disco virtual ISCSI-02 de 10 GB con iniciador autorizado,
el servidor DC-01.
Paso 2: en la pestaña Destinos, sección Conexión rápida, escriba el nombre del servidor de
destino (ISCSI-01), en el que los discos virtuales han sido creados, y haga clic en Conexión
rápida.
Paso 9: haga clic con el botón derecho (en la parte gris, bajo el nombre de los discos) en cada
disco virtual conectado y, a continuación, haga clic en En línea:
Paso 10: el estado de los discos se muestra como Sin inicializar. Haga de nuevo clic con el
botón derecho en un disco virtual y haga clic en Inicializar disco:
Paso 11: verifique que los dos discos virtuales están seleccionados, marque a continuación la
opción GPT (Tabla de particiones GUID) para seleccionar el tipo de partición y haga clic
enAceptar:
Paso 12: los discos muestran ahora un estado en línea. Haga clic con el botón derecho sobre un
disco y, a continuación, haga clic en Nuevo volumen simple...:
Paso 13: haga clic cuatro veces en Siguiente y haga clic en Finalizar para dar formato a los
discos virtuales.
Paso 14: el disco formateado estará visible, en lo sucesivo, en el explorador de Windows y listo
para ser utilizado. Repita las etapas 12 y 13 para formatear el segundo disco virtual:
2. Implementar BranchCache
Este taller permite instalar, configurar y desplegar BranchCache utilizando el modo de caché
hospedada en una red que posee un sitio remoto. Para realizar este taller, tendrá que crear la UO
INFONOVICE\Equipos para incluir aquí las cuentas de los equipos CLIENT1 y CLIENT2, y crear, a
continuación, la UO INFONOVICE\Servidores para incluir el servidor de archivos FILES-01.
Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y haga clic
enAgregar roles y características.
Paso 2: haga clic tres veces en Siguiente, despliegue el árbol del servicio de rol de
archivosServicios de archivos y almacenamiento - Servicios de iSCSI y archivo y, a
continuación, marque la opción BranchCache para archivos de red. En la ventana Asistente
para agregar roles y características, haga clic en Agregar características.
Paso 1: en el servidor CACHE-01 (situado en el sitio remoto), abra el Administrador del servidor
y haga clic en Agregar roles y características.
Paso 2: haga clic cuatro veces en Siguiente, marque la opción BranchCache y, a continuación,
haga clic dos veces en Siguiente e Instalar:
Enable-BCHostedServer -RegisterSCP
Paso 5: verifique que el estado del servicio BranchCache es arrancado escribiendo el siguiente
comando PowerShell: Get-BCStatus
Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar.
Paso 6: haga doble clic en el parámetro Activar BranchCache para editarlo y, a continuación,
marque la opción Habilitada y haga clic en Aceptar:
Paso 7: haga doble clic en el parámetro Habilitar detección automática de caché hospedada
mediante un punto de conexión de servicio para editarlo y, a continuación, marque la
opciónHabilitada y haga clic en Aceptar:
Paso 8: cierre la consola Editor de administración de directivas de grupo.
Paso 9: abra una ventana de símbolo del sistema en cada equipo cliente para escribir el
siguiente comando: gpupdate /force.
Este procedimiento permite configurar el modo de caché utilizado por los clientes cuando se ha
habilitado la funcionalidad BranchCache.
Paso 3: escriba Modo de caché - BranchCache en el campo Nombre y haga clic en Aceptar:
Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar.
Paso 7: haga doble clic en el parámetro Configurar BranchCache para archivos de red para
editarlo y, a continuación, marque la opción Habilitada. Introduzca el valor 0 en el campo Escribir
la latencia de red de ida y vuelta máxima tras la cual comienza el almacenamiento en
cachépara forzar a BranchCache a actualizar la cache con todos los archivos recuperados de la
red. Haga clic en Cerrar.
Paso 8: cierre la consola Editor de administración de directivas de grupo.
Para autorizar la actualización en caché de una carpeta compartida, debemos activar BranchCache en
la carpeta correspondiente.
Paso 1: en el servidor de archivos FILES-01, cree una nueva carpeta llamada Compartidas en la
raíz del disco C:\.
Paso 2: haga clic con el botón derecho en la carpeta compartida y haga clic en Propiedades.
Paso 4: en la ventana Uso compartido avanzado, marque la opción Compartir esta carpeta y, a
continuación, en Permisos.
Paso 5: marque la opción Permitir del permiso Control total para todos y, a continuación, haga
clic en Aceptar.
Paso 6: en la ventana Uso compartido avanzado, haga clic en Caché.
Paso 8: haga clic dos veces en Aceptar para cerrar las ventanas de las propiedades de la
carpeta compartida.
Paso 9: repita los pasos 2 al 8 en el conjunto de las carpetas compartidas que desee hacer
compatibles con la tecnología BranchCache.
Configure el hash
Para autorizar a un servidor de archivos que utiliza la tecnología BranchCache para generar la
información de contenido llamada Hash, es necesario crear previamente la siguiente directiva de
grupo y aplicarla a los servidores de archivos concernientes. Los servidores de archivos deben
moverse y ubicarse en una nueva UO llamada Servidores.
Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar.
Paso 8: en el servidor FILES-01 abra un símbolo del sistema DOS y, a continuación, escriba el
siguiente comando gpupdate /forcey reinicie el equipo.
Paso 6: haga clic con el botón derecho en Reglas de entrada y, a continuación, haga clic
enNueva regla.
Paso 9: en la ventana Acción, marque la opción Permitir la conexión y, por último, en Finalizar.
Paso 10: la regla aparece, a continuación, con una marca de verificación verde:
Paso 11: cree una nueva regla de entrada como se indica en los pasos 5 y 6. Marque la
opciónPredefinida y, a continuación, seleccione la regla BranchCache - detección del mismo
nivel (usa WSD) y haga clic en Siguiente:
Paso 12: en la ventana Reglas predefinidas, verifique la información mostrada y haga clic
enSiguiente.
Paso 13: en la ventana Acción, marque la opción Permitir la conexión y, a continuación, haga
clic en Finalizar.
Paso 14: la regla aparece, a continuación, con una marca de verificación verde:
Paso 16: actualice las directivas de grupo en los equipos cliente ejecutando el
comando gpupdate /forcedesde un símbolo del sistema.
Validar la configuración
El siguiente procedimiento permite simular una conexión lenta con el sitio remoto. Esta operación solo
se debe realizar en un entorno de prueba para validar el funcionamiento de BranchCache en una
maqueta.
Paso 1: en el servidor de archivos FILES-01, escriba el comando siguiente para abrir el Editor de
directivas de grupo local: gpedit.msc.
Paso 2: despliegue el árbol de la consola desde el nodo siguiente: Configuración del equipo -
Configuración de Windows. Seleccione QoS basada en directiva, haga clic con el botón derecho
y haga clic en Crear nueva directiva:
Paso 3: en el campo Nombre de directiva escriba Prueba conexión lenta. Marque la
opciónEspecificar velocidad de salida del acelerador y escriba el valor 56 Kbits/s para simular
un sitio remoto conectado a la central a través de un modem de 56K. A continuación, haga clic
tres veces en Siguiente y por último en Finalizar:
Paso 4: verifique que la directiva de QoS llamada Prueba conexión lenta aparece en la
consolaEditor de directivas de grupo local y, a continuación, cierre la ventana:
Paso 5: en el servidor de archivos FILES-01, copie el archivo C:\Windows\System32\mmc.exe, en
la carpeta C:\Compartir creada en la etapa 6.2.5.
Paso 6: abra una sesión en el equipo CLIENT1 y navegue hasta la carpeta de red
siguiente:\\FILES-01\Compartir\
Paso 7: copie el archivo mmc.exe en el escritorio del equipo CLIENT1. Preste atención, el archivo
tardará un momento antes de copiarse en el escritorio debido a la directiva QoS implementada en
copiar la etapa anterior.
Paso 8: inicie una sesión en el equipo CLIENT2, navegue a la carpeta de red \\FILES-
01\Compartiry copie el archivo mmc.exe en el escritorio. Comprobará que el archivo tarda menos
tiempo en copiarse.
Resumen del capítulo
En este capítulo hemos visto todos los aspectos relacionados con los servicios de archivos avanzados
en Microsoft Windows Server 2012 R2. Podría resumirse de la siguiente manera:
Windows Server 2012 R2 gestiona varios tipos de formato de partición, tales como ReFS o
NTFS.
BranchCache es una tecnología que permite poner en caché los archivos más utilizados por los
usuarios remotos.
BranchCache puede funcionar según dos modos. El modo de caché hospedada, que necesita
un servidor de caché en el sitio remoto, o el modo de caché distribuida, que consiste en poner
en caché los archivos de manera local en el equipo cliente que haya realizado una petición de
acceso al recurso.
Validación de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 ¿Qué es un grupo de almacenamiento?
8 ¿Qué es un IQN?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 ¿Qué es un grupo de almacenamiento?
Un grupo de almacenamiento es una agrupación de varios discos físicos que permite crear discos
virtuales. El sistema operativo verá estos discos como discos lógicos y será posible crear
particiones en ellos.
Por defecto, el servicio Iniciador iSCSI envía los comandos iSCSI a un servidor de destino
empleando el puerto 3260.
Mediante la tecnología Microsoft Multipath I/O (MPIO), la consola Iniciador iSCSI es capaz de
gestionar 32 rutas de acceso diferentes a los servidores de destino.
La desduplicación de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad.
8 ¿Qué es un IQN?
Un IQN (iSCSI Qualified Name) es un nombre único que identifica un servidor de destino o un
iniciador iSCSI. Este último se genera automáticamente en función del nombre del servidor y el
nombre DNS del dominio.
Una cuota máxima permite impedir que los usuarios superen el límite de almacenamiento fijado
por el administrador.
Una cuota de advertencia permite a los usuarios superar el límite de almacenamiento fijado por el
administrador con objeto de analizar el uso del espacio de almacenamiento.
Un filtrado activo permite impedir a los usuarios almacenar archivos no autorizados definidos en
una regla de filtrado.
Un filtrado pasivo permite a los usuarios almacenar los archivos no autorizados por el
administrador, pero con el objeto de analizar el uso del almacenamiento empleando los informes.
Estos informes permiten incluir aquellos usuarios que almacenan archivos no deseados en la red.
Un informe de almacenamiento permite visualizar las estadísticas de uso del servidor de archivos.
Esto permite identificar rápidamente los archivos de mayor tamaño.
La tecnología BranchCache permite reducir el uso del ancho de banda poniendo en caché los
archivos que se utilizan con mayor frecuencia.
El modo de caché hospedada funciona con un servidor de caché en el sitio remoto. Cada archivo
consultado por los usuarios del sitio remoto puede alojarse en la caché del servidor de caché para
que los demás usuarios puedan acceder localmente al archivo sin tener que utilizar el ancho de
banda WAN.
El modo caché distribuida permite autorizar a los equipos cliente a almacenar en su caché local los
archivos consultados. Cada equipo cliente realiza una petición de acceso a un archivo consultado
previamente por los compañeros de la misma red para saber si alguno posee la copia del archivo en
caché.
Requisitos previos y objetivos
1. Requisitos previos
Conocer las bases del control de acceso NTFS.
2. Objetivos
Saber configurar los recursos para el control de acceso dinámico.
1. Presentación de DAC
La seguridad NTFS ha supuesto una revolución en la gestión de los permisos de acceso a los
recursos de un servidor de archivos. Sin embargo, esta tecnología se ha visto más bien limitada para
ciertos casos concretos. En algunas grandes infraestructuras donde la seguridad es crucial, la
gestión de permisos NTFS puede considerarse insuficiente siendo demasiado restrictiva o bien
insuficiente. Por esta razón Microsoft ha creado la tecnología de control de acceso dinámico para
aportar a los administradores herramientas adicionales que complementan a los permisos NTFS. El
DAC permite afinar los permisos de acceso a los recursos mediante un nuevo componente del
servidor.
2. Funcionamiento de DAC
El control de acceso funciona de manera conjunta con la tecnología de gestión de permisos de
acceso NTFS (ampliamente extendida y utilizada en las anteriores versiones de Windows). En la
mayoría de las empresas, los administradores configuran cada recurso modificando una lista de
control de acceso, también llamada ACL (Access Control List). Las ACL permiten, por ejemplo, definir
grupos o usuarios con permisos de lectura, escritura o modificación sobre un recurso.
Para gestionar el acceso a los recursos, hay que planificar y configurar previamente una directiva de
acceso central que se aplicará a los servidores que albergarán los recursos a proteger. Esto no
exime del uso y configuración de las tradicionales ACL provistas para la seguridad NTFS. El control de
acceso dinámico combina ambas tecnologías. Cuando un usuario solicita un acceso a los recursos de
una infraestructura que utiliza DAC, debe no solamente cumplir con las demandas impuestas por las
ACL (seguridad NTFS clásica) sino además con las condiciones fijadas por la directiva de acceso
central configurada en el control de acceso dinámico. Si se verifican las condiciones impuestas por
ambas tecnologías, el usuario podrá entonces acceder al recurso solicitado.
Además de basarse en las ACL, el control de acceso dinámico puede también utilizar la información
de clasificación de un objeto para autorizar o no el acceso en función de la directiva de acceso
central definida para el recurso. Por ejemplo, es posible autorizar el acceso a los recursos donde la
propiedad de clasificación indique "SECRETO DEFENSA" solamente a los miembros del grupo
DIRECCIÓN.
Para autorizar a un usuario acceder a un recurso, el DAC se basa también en los servicios de
dominio Active Directory (AD DS), mediante una autenticación Kerberos V5.
Una vez implementado el control de acceso dinámico, podemos realizar las acciones siguientes:
Permite ocultar las carpetas compartidas para que se visualicen solamente aquellas
carpetas sobre las que el usuario tiene permisos de acceso.
Permite auditar los accesos denegados sobre un recurso para saber qué usuario ha
intentado acceder.
Permite auditar el tipo de equipo o componente del equipo que ha intentado acceder o
bien accedido al recurso.
a. Notificaciones
El control de acceso dinámico puede basarse, también, en notificaciones de Usuario (User Claims) o
notificaciones de Equipo (Device Claims):
Por ejemplo, mediante las notificaciones especificadas en una directiva de acceso dinámico
podemos autorizar a un usuario a acceder a un archivo si pertenece al departamento
CONTABILIDAD y si su equipo tienen una particularidad específica, como el sistema operativo u
otras características.
Una directiva de acceso central permite definir todas las condiciones de acceso a un recurso. Esta
directiva puede aplicarse sobre uno o varios archivos o carpetas.
Las directivas de acceso se crean mediante la consola de administración ADAC (Active Directory
Administrative Center), se aplican, a continuación, mediante GPO (Group Policy Object). Cada
directiva de acceso central contiene una o varias reglas de acceso central y cada regla contiene los
parámetros que determinan las condiciones de acceso a un recurso. Cuando se emite la directiva
de acceso central, es obligatorio configurar las propiedades del recurso a proteger. Para ello,
basta con asignar la directiva adecuada en las opciones avanzadas de la pestaña Seguridad de
las propiedades del recurso.
La creación de una directiva de acceso central requiere la configuración de los siguientes campos:
Miembro: permite identificar las reglas de acceso central que componen la directiva de
acceso central.
Una regla de acceso central permite definir el alcance del recurso de destino. La limitación de los
permisos de acceso está definida mediante condiciones que validan el acceso o no a un recurso.
La creación de una regla de acceso central requiere la configuración de los siguientes campos:
Recursos de destino: contiene una lista de criterios que delimitan los recursos.
La sección Permisos propuestos propone un conjunto de permisos definidos por el sistema. Estas
propuestas aleatorias respetan las mejores prácticas del fabricante y pueden aplicarse
directamente reemplazando los permisos actuales. La acción de aceptar los permisos propuestos
reemplazando los actuales no es irreversible. Es posible revertirlas en todo momento, desde la
sección Permisos actuales.
En esta consola, el nodo Control de acceso dinámico ofrece el acceso a las siguientes opciones:
Central Access Policies: esta opción contiene las directivas de acceso central. Cada directiva
contiene las reglas de acceso central que determinan los grupos o usuarios con acceso a los
recursos a securizar.
Central Access Rules: esta opción contiene las reglas de acceso central que definen los
atributos de permisos de acceso a los recursos. El acceso está definido mediante condiciones
que especifican los recursos sobre los que se aplica la regla. Las reglas de acceso central se
utilizan en una directiva de acceso central.
Claim Types: esta opción contiene los diferentes tipos de notificaciones creadas para los
usuarios o los equipos. Las notificaciones permiten, en particular, especificar los atributos de
los objetos que deseamos emplear para verificar un acceso.
Resource Properties: esta opción contiene varias propiedades de recursos predefinidas que
se encuentran desactivadas por defecto. La lista permite responder a varios casos prácticos y
también es posible crear nuevas propiedades de recursos personalizadas.
Resource Property Lists: esta opción contiene una lista de propiedades de recursos
llamadaGlobal Resource Property List. Una lista de propiedades de recursos contiene todas las
propiedades de recursos que pueden utilizarse en las reglas de clasificación o de acceso
central.
El control de acceso dinámico puede utilizar la clasificación de los recursos para controlar el acceso.
Se utiliza, en este caso, la consola Administración de recursos del servidor de archivos junto a la
consola Active Directory Administration Center.
Cuando se publica una directiva de acceso central empleando directivas de grupo, es posible
verificar previamente o reparar el acceso a los recursos mediante la pestaña Acceso efectivo. Esta
pestaña es accesible desde la configuración avanzada de los permisos NTFS de un recurso:
4. Crear una o más reglas de acceso central. Estas reglas definen los recursos
impactados mediante las condiciones de acceso.
6. Crear y configurar una directiva de grupo (GPO) para desplegar en los servidores
de archivo afectados. Refrescar las directivas de grupo en los servidores de
archivo (gpupdate /force).
También es posible emplear la consola de administración de las clasificaciones de datos para aplicar
las directivas de acceso central automáticamente a través de varios servidores de archivos y, de
esta manera, generar informes sobre las directivas aplicadas.
Trabajos prácticos
La empresa INFONOVICE posee un servidor de archivos que almacena el conjunto de los archivos y
carpetas de la empresa. Los usuarios acceden a los recursos securizados empleando el tradicional
sistema de seguridad NTFS. El departamento de Recursos Humanos posee archivos y otro tipo de
información sensible para el conjunto de colaboradores. Por este motivo, se le necesita para
implementar una solución que aporte un mayor nivel de seguridad en la integridad y el acceso a los
datos, aunque el directorio dedicado a RRHH se encuentre ya securizado con permisos NTFS. Como
administrador, es responsable de implementar un control de acceso dinámico para que solo los
usuarios del departamento de RRHH puedan tener acceso a la carpeta compartida RH_FILES. Todos
los intentos de acceso a la carpeta dedicada al departamento de RRHH deberán ser auditados para
conocer la identidad de las personas a las que se haya denegado el acceso a los datos
confidenciales. Los usuarios con acceso a la carpeta compartida RH_FILES solo pueden acceder desde
aquellos equipos que pertenezcan al grupo de seguridad de dominio local GL_RH_Computers. Los
demás empleados almacenan sus archivos en un directorio compartido llamado COMÚN. Esta carpeta
deberá estar, también, securizada. Los usuarios pertenecientes a la dirección de la empresa deberán
poder consultar todos los documentos.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Instale y configure el servidor de archivos FILES-01 como servidor miembro del dominio
infonovice.priv, en la UO INFONOVICE\Equipos.
Edite las propiedades de las cuentas de equipo informando los campos Descripción con RRHH para
el equipo CLIENT1 y EMPLEADOS para el equipo CLIENT2.
Cree una cuenta de usuario en la UO INFONOVICE\RRHH llamado Juan DUPONT (Login: jdupont),
miembro del grupo GG_RH_Users.
Edite las propiedades de la cuenta de usuario Juan DUPONT, vaya a la pestaña Organización y
en el campo Departamento indique RRHH.
Edite las propiedades de la cuenta de usuario Luis PAREDES, vaya a la pestaña Organización y
en el campo Departamento indique DIRECCIÓN.
El usuario Juan DUPONT es miembro del departamento de recursos humanos. Este usuario utiliza el
equipo CLIENT1 y debe tener acceso a la carpeta compartida RH_FILES.
El usuario Marcos LABLANCA es un simple usuario del dominio. Este usuario utiliza el equipo CLIENT2 y
no debe tener acceso a la carpeta compartida RH_FILES. Solo debe tener acceso a la carpeta
compartida COMÚN.
1. Configurar Kerberos
Este taller tiene como objetivo activar el soporte del controlador de dominio Kerberos para las
notificaciones, la autenticación compuesta y la protección Kerberos para poder utilizar el control de
acceso dinámico.
La notificación Usuario y Equipo aparece, ahora, en la consola Active Directory Administrative Center:
Paso 3: abra la carpeta Claim Types y, a continuación, en la sección Tareas del panel derecho,
haga clic en Nuevo, y seleccione Tipo de notificación:
Paso 4: en la sección Atributo de origen, desmarque el tipo de notificación Usuario, marque a
continuación, el tipo de notificación Equipo y seleccione el atributo description. A continuación,
haga clic en Aceptar:
Paso 4: edite la propiedad del recurso Department haciendo doble clic en ella. En la
secciónValores sugeridos, haga clic en el botón Agregar:
Paso 5: en la ventana Agregar un valor sugerido, escriba RRHH en el campo Valor y Nombre
para mostrar. A continuación, haga clic en Aceptar:
El valor RRHH debe aparecer, a continuación, en el filtro de búsqueda de valores sugeridos:
Paso 6: vuelva a cerrar la ventana de propiedad de recurso Department haciendo clic enAceptar.
4. Configurar la clasificación
Este taller tiene como objetivo activar y configurar la clasificación de los archivos y carpetas de la
carpeta compartida COMÚN en la que el departamento de Recursos Humanos almacena, en ocasiones,
archivos confidenciales sin darse cuenta. La implementación de la clasificación de datos debe permitir
identificar todos los archivos que contengan la cadena de caracteres "Recursos Humanos" para poder
clasificarlos como datos altamente confidenciales. La implementación del control de acceso dinámico
debe de esta forma permitir securizar los datos del departamento de RRHH.
Paso 5: en la pestaña Ámbito, haga clic en Agregar para seleccionar la carpeta E:\COMÚN:
Paso 6: en la pestaña Clasificación, seleccione Clasificador de contenido en el menú
desplegable de la sección Método de clasificación. En la sección Propiedad, seleccione la
propiedad Confidentiality y seleccione el valor High. A continuación, haga clic en Configurar:
Paso 7: en la pestaña Parámetros, haga clic en la lista desplegable de Tipo de expresión para
seleccionar Cadena y, a continuación, en el campo Expresión, indique el valor Recursos
Humanos. A continuación, haga clic en Aceptar:
Paso 8: en la pestaña Tipo de evaluación marque la opción Volver a evaluar los valores de
propiedad existentes y, a continuación, marque la opción Sobrescribir el valor existente. Haga
clic en Aceptar para validar la regla de clasificación:
La regla de clasificación creada aparece, a continuación, en la consola.
Paso 10: cuando aparezca la ventana Ejecutar clasificación, marque la opción Ejecutar
clasificación en segundo plano y haga clic en Aceptar.
Paso 11: edite las propiedades de cada uno de los archivos de la carpeta E:\COMÚN para
comprobar que la pestaña Clasificación contiene correctamente asignada la
propiedadConfidentiality con el valor High para los archivos Privado1.txt y Privado2.txt solamente.
Paso 12: edite las propiedades de la carpeta E:\RH_FILES. Vaya a la pestaña Clasificación,
seleccione la propiedad Department y, a continuación, asigne el valor RRHH. Haga clic
enAceptar:
Paso 3: abra la carpeta Central Access Rules y, a continuación, en la sección Tareas del panel
derecho, haga clic en Nuevo y seleccione Regla de acceso central:
Paso 6: en la ventana Regla de acceso central, configure la condición para indicar que la regla
de acceso central se aplica a los usuarios pertenecientes al departamento de RRHH y, a
continuación, haga clic en Aceptar:
Paso 7: en la sección Permisos, haga clic en el botón Editar.
Paso 9: en la ventana Entrada de permiso para Permisos, haga clic en Seleccionar una entidad
de seguridad y agregue el grupo Usuarios autentificados. Haga clic en Agregar una condición,
configúrela como se indica en la siguiente captura de pantalla y haga clic tres veces en Aceptar.
Paso 10: cree una nueva regla de acceso central llamada Acceso a los archivos de RRHH. En la
sección Recursos de destino, haga clic en Editar y agregue la condición siguiente:
Haga clic en Aceptar.
Paso 11: en la sección Permisos, haga clic en Editar, elimine la cuenta Administrador y el
grupoTodos.
Paso 12: a continuación, agregue el grupo Usuarios autentificados con las condiciones
siguientes:
Esta regla de acceso central, cuando se aplica a un recurso, especifica por sus características
que los miembros del grupo GG_RH_Direction pueden acceder al recurso especificado siempre
que se conecten desde un equipo perteneciente al grupo GG_RH_Computers (CLIENT1).
Paso 13: haga clic tres veces en Aceptar para validar y crear la regla de acceso central.
Paso 3: abra la carpeta Central Access Rules y a continuación, en la sección Tareas del panel
derecho, haga clic en Nuevo y seleccione Directiva de acceso central:
Paso 4: en la sección General, escriba Pertenencia al departamento de RRHH en el
campo Nombrey a continuación, en la sección Reglas de acceso central miembros, haga clic en
el botónAgregar:
Paso 7: cree una nueva directiva de acceso central. En la sección General, escriba Archivos de
Recursos Humanos en el campo Nombre y, a continuación, en la sección Reglas de acceso
central miembros, haga clic en el botón Agregar:
Paso 8: en la ventana Agregar reglas de acceso central, seleccione la regla llamada Acceso a
archivos RRHH para agregarla en esta directiva de acceso central. A continuación, haga clic
enAceptar:
Paso 9: para crear la directiva de acceso central llamada Archivos de RRHH, vuelva a hacer clic
enAceptar.
Las dos directivas de acceso central creadas aparecen en la carpeta Central Access Policies:
7. Publicar una directiva de acceso
Este taller tiene como objetivo publicar una directiva de acceso central mediante las directivas de
grupo Active Directory.
Paso 2: despliegue el árbol de la consola hasta la UO INFONOVICE y cree una nueva directiva de
grupo llamada Control de acceso RRHH vinculada a la UO Equipos.
Paso 4: haga clic con el botón derecho en Directiva de acceso central y haga clic en Administrar
directivas de acceso central.
Paso 7: edite el parámetro Personalizar mensaje para errores de acceso denegado. Marque la
opción Habilitada y, a continuación, escriba el siguiente mensaje de error que se mostrará
cuando se deniegue el acceso: "No dispone de permisos de acceso para los datos del departamento
de RRHH." A continuación, marque la opción Permitir que los usuarios soliciten asistencia y haga
clic en Aceptar para validar:
Paso 8: edite el parámetro Permitir la asistencia de acceso denegado en el cliente para todos
los tipos de archivos. Marque la opción Habilitada y haga clic en Aceptar.
Paso 10: inicie una sesión en el servidor FILES-01 y ejecute el comando siguiente para refrescar
las directivas de grupo: gpupdate /force
Paso 11: edite las propiedades de la carpeta compartida E:\RH_FILES. En la pestaña Seguridad,
haga clic en Opciones avanzadas y, a continuación, en la pestaña Directiva central. Haga clic
enCambiar para seleccionar la directiva de acceso central Pertenencia al departamento de
RRHH y haga clic dos veces en Aceptar.
Paso 12: edite las propiedades de la carpeta E:\COMÚN. En la pestaña Seguridad, haga clic
enOpciones avanzadas y, a continuación, en la pestaña Directiva central. Haga clic
en Cambiarpara seleccionar la directiva de acceso central Archivos de RRHH y haga clic dos
veces enAceptar.
Paso 4: una vez denegado el acceso al recurso, haga clic en Solicitar asistencia. En el campo
dedicado a la explicación, indique que el usuario JDUPONT pertenece al departamento de RRHH y,
a continuación, haga clic en Enviar mensaje:
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos al control de acceso dinámico de
Microsoft Windows Server 2012 R2, que podemos resumir de la manera siguiente:
La implementación requiere la creación de una directiva de acceso central que contenga las
reglas de acceso central.
1. Preguntas
1 ¿Qué es una notificación?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /3
3. Respuestas
1 ¿Qué es una notificación?
Una notificación permite definir el conjunto de los atributos de objeto de tipo Usuario o Equipo, que
servirán para verificar las condiciones de acceso de una regla de directiva de acceso.
Una propiedad de recurso permite añadir información adicional a un recurso para controlar el acceso
dinámico y gestionar el control de acceso. Una propiedad de recurso puede contener diferentes
tipos de valor con algunas selecciones múltiples.
Los permisos efectivos permiten verificar previamente los permisos de un usuario o de un grupo
en función de sus parámetros de pertenencia a un grupo, las notificaciones aplicadas o el puesto de
trabajo desde el que se debe acceder al recurso.
Requisitos previos y objetivos
1. Requisitos previos
Conocimiento básico del directorio Active Directory.
2. Objetivos
Conocer los componentes de una infraestructura Active Directory.
a. Gestión administrativa
b. Particiones
Partición del esquema: una única partición del esquema se replica en todos los
controladores de dominio del bosque.
Partición DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la partición ForestDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.
a. Gestión administrativa
El conjunto de los miembros del grupo de seguridad predefinido llamado Admins. del
dominioposeen control total en el dominio. Los miembros de este grupo no tienen privilegios
administrativos en los demás dominios del bosque o en otros bosques.
b. Particiones
Partición del dominio: todos los objetos de un dominio se almacenan en la partición del
dominio en cada controlador de dominio. Los datos no se replican a otros controladores de
dominio pertenecientes a otros bosques. Mediante los objetos de dominio, es posible
vincular las directivas de grupo a un dominio, una UO o un sitio. No existe herencia de
directivas de grupo de un dominio a otro. Cada dominio posee pues sus propias directivas
de grupo.
Partición DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la partición DomainDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.
3. Despliegue distribuido AD DS
La mayoría de las instalaciones pueden operar con el uso de un único servicio de dominio de Active
Directory. Agregar varios dominios a un bosque complica la implementación y la administración de la
infraestructura Active Directory. En varias estructuras, la implementación de una arquitectura
compleja puede resultar beneficioso y aportar gran cantidad de funcionalidad o seguridad. Antes de
desplegar una infraestructura compleja de dominios AD DS conviene saber y conocer las distintas
topologías así como el impacto de las diferentes configuraciones dentro del bosque.
¿Por qué utilizar bosques o dominios múltiples en una infraestructura AD DS cuando un solo
bosque y un solo dominio son suficientes en la mayoría de casos?
Al comprar una empresa, puede resultar útil integrar el parque informático recién adquirido
como un nuevo bosque a la infraestructura Active Directory existente. Esto permite evaluar
mejor el perímetro de cara a preparar una fusión de Active Directory.
Facilitar la replicación Active Directory cuando una empresa posee sitios remotos
interconectados a la sede central mediante una conexión lenta. Agregar un dominio
suplementario para cada uno de los sitios remotos permite mejorar los procesos de
autenticación de los usuarios que se conectarán de manera local en el dominio vinculado a
su sitio. De esta forma, solo las replicaciones AD entre los dominios padres e hijos tendrán
lugar a través del vínculo WAN.
No se recomienda actualizar un controlador de dominio a Windows Server 2012 R2. Para respetar
las buenas prácticas, la operación consiste en integrar los nuevos controladores de dominio con el
sistema operativo Windows Server 2012 R2 en la infraestructura existente. Una vez que los
controladores de dominio estén operativos, podemos eliminar los servidores con sistemas
operativos obsoletos sin problema alguno (con la condición de transferir previamente los roles
FSMO a los controladores de dominio que ejecuten Windows Server 2012 R2). Si ningún
controlador de dominio de la infraestructura Active Directory ejecuta el sistema operativo Windows
Server 2012 R2, habrá que actualizar el esquema del bosque antes de promover el controlador de
dominio. La herramienta adprep.exe (disponible en el DVD de instalación de Windows Server 2012
R2 en la carpeta \Support\adprep) permite actualizar el esquema de Active Directory manualmente.
Antes de implementar los controladores de dominio Windows Server 2012 R2 en un entorno
existente, hay que verificar que el nivel funcional del dominio sea al menos Windows Server 2008
porque los niveles funcionales anteriores no están soportados.
Antes de realizar una actualización de los controladores de dominio conviene verificar los
siguientes elementos:
Verificar que el esquema del directorio Active Directory no ha sufrido muchas modificaciones
manuales diferentes de las aportadas por los productos Microsoft para evitar problemas con
identificadores de objeto (Object ID) cuando extendamos el esquema con la herramienta
Adprep.exe. Si éste fuera el caso, habrá que probar la extensión del esquema previamente
en un entorno de pruebas para validar el procedimiento.
Verificar que el nivel funcional del dominio sea al menos Windows Server 2008.
Contar con servidores miembro del dominio corriendo bajo el sistema operativo Windows
Server 2012 R2.
Una vez verificados los requisitos previos, es importante realizar una prueba en un entorno de
verificación. Si el entorno de la maqueta no se corresponde completamente a la realidad de su
parque informático, no podrá jamas validar el buen funcionamiento de la extensión del esquema
del directorio Active Directory, y no estará libre de posibles problemas.
Identifique los servidores que alberguen los roles FSMO empleando el comando: netdom
query fsmo
Utilice el DVD-ROM de instalación para efectuar la extensión del esquema de Active Directory
empleando los comandos siguientes en este orden:
adprep /gpprep (debe ejecutarse en el servidor que albergue el rol FSMO maestro
de infraestructura)
Promueva los servidores miembro bajo Windows Server 2012 R2 a controladores de dominio.
Transfiera los roles FSMO a los controladores de dominio Windows Server 2012 R2.
Cuando se hayan completado todas las acciones, los controladores de dominio con sistemas
operativos anteriores a Windows Server 2012 R2 pueden ser degradados.
Una vez que el conjunto de los controladores de dominio ejecuten el sistema operativo Windows
Server 2012 R2, podrá aumentar el nivel funcional del dominio a Windows Server 2012 R2.
La migración Active Directory consiste en desplazar los objetos de un dominio A (dominio fuente) a
un dominio B (dominio de destino). Los objetos migrados corresponden a las cuentas de equipo,
cuentas de usuario, cuentas de servicio o los grupos de seguridad. La necesidad de migrar los
datos puede intervenir en diferentes situaciones tales como una reestructuración de la
infraestructura Active Directory existente (consolidación) o la compra de una nueva empresa
(fusión).
Para facilitar la migración de los recursos de un dominio a otro, Microsoft pone a disposición de los
administradores una herramienta gratuita llamada ADMT (Active Directory Migration Tool). Esta
herramienta garantiza la migración de los recursos entre los dominios Active Directory del mismo
bosque (migración intra-bosque) o bosques independientes (migración inter-bosque). Es posible
utilizar ADMT empleando una interfaz gráfica o por línea de comandos, lo que permite automatizar
las tareas de migración.
Antes de realizar una migración empleando la herramienta ADMT es importante respetar los
siguientes requisitos previos:
Configurar los servidores DNS para que los dominios fuente y de destino puedan resolver
los nombres de dominio asociados (posibilidad de crear reenviadores condicionales en los
servidores DNS).
Configurar las relaciones de confianza bidireccional entre los dominios fuente y de destino.
Preparar un entorno de maqueta para realizar las pruebas de migración y de esta forma
validar los procedimientos de migración y vuelta atrás.
Configurar los Firewall de los dominios fuente y de destino para autorizar la compartición de
archivos e impresoras en la red.
Preparar el árbol del dominio destino para conocer previamente en qué UO se almacenarán
los objetos del dominio fuente.
Configurar los dominios fuente y de destino para activar el soporte del atributo SID-History
de los objetos migrados. Este atributo permite a los usuarios migrados conservar sus
accesos a recursos del dominio fuente. Una vez migrados al dominio de destino, los objetos
obtendrán un nuevo SID que no podrá ser gestionado en el dominio fuente.
Una vez cumplidos estos requisitos previos es importante migrar los recursos por lotes, con el fin
de reducir el impacto ocasionado por un posible error. Los grupos de seguridad globales deben ser
migrados antes que las cuentas de usuario y demás recursos (servidores o cuentas de equipo).
Verifique los requisitos previos ADMT y configure los permisos de administración en los dos
dominios.
Cree las relaciones de confianza bidireccional entre los dominios fuente y de destino.
Una vez migrados todos los recursos, es posible degradar los controladores de dominio del
dominio fuente.
d. Relaciones de confianza
Las relaciones de confianza de Active Directory permiten autorizar a los usuarios de otro dominio o
bosque para acceder a los recursos internos de la empresa. Por defecto, durante la creación de un
subdominio o de dominios pertenecientes a un mismo bosque, se crean automáticamente
relaciones de confianza transitivas para autorizar a los usuarios a autenticarse en los dominios del
mismo bosque. Cuando un administrador desea conceder un acceso a los recursos del dominio
para los usuarios de otro bosque, se debe crear manualmente una relación de confianza no
transitiva. Para limitar el tráfico y las peticiones entre dominios de un mismo bosque, se pueden
crear manualmente relaciones de confianza directa llamadas abreviadas para conceder el acceso a
los recursos. Al agregar un nuevo árbol de dominio al bosque se crea automáticamente una
relación de confianza transitiva.
Antes de crear relaciones de confianza, conviene saber que existen diferentes tipos de relaciones
de confianza con distintos tipos de transitividad y distintas direcciones que indican el sentido de la
confianza.
El tipo de confianza
El tipo de confianza permite definir la relación de aprobación que puede existir entre dos bosques.
Existen dos tipos de confianzas:
Confianza externa: este tipo de confianza no es transitiva, lo que significa que los usuarios
del dominio raíz de cada bosque no pueden acceder a los recursos del dominio raíz del otro
bosque. Al no ser transitiva la relación de confianza, los dominios secundarios del bosque
no pueden aprobar a los dominios de un bosque externo.
Confianza de bosques: este tipo de confianza es transitiva, lo que significa que los usuarios
del dominio raíz de cada bosque pueden acceder a los recursos del dominio raíz del otro
bosque:
La dirección de la confianza
La dirección de la confianza indica el sentido en el que deben aprobarse los dominios
correspondientes (bidireccional o unidireccional). Para autorizar a los usuarios de un dominio a
acceder a los recursos de otro dominio, siempre hay que pensar que la relación de confianza se
realiza en el sentido del dominio de los recursos hacia el dominio de las cuentas de usuario. El
sentido de la relación de confianza es pues muy importante.
En los siguientes esquemas, la flecha negra indica el sentido de la confianza y las demás flechas
indican el sentido de acceso a los recursos por los usuarios.
Bidireccional: los usuarios de cada dominio pueden acceder respectivamente a los recursos
del otro dominio.
Unidireccional de entrada: los usuarios del dominio A pueden acceder a los recursos del
dominio B.
Unidireccional de salida: los usuarios del dominio B pueden acceder a los recursos del
dominio A.
Por defecto, al crear una relación de confianza entre un dominio y un bosque externo, el filtrado de
los SID de seguridad se activa para evitar cualquier suplantación de identidad. Todo objeto de
grupo (con la excepción de los grupos de difusión), equipo o usuario de Active Directory posee un
atributo SID. Durante una migración de recursos de un dominio a otro, las cuentas migradas
conservan sus atributos de seguridad SID correspondientes al dominio de origen. El SID del
dominio origen se convierte automáticamente en el atributo SID-History para adquirir un nuevo SID
correspondiente al dominio de destino. Si el filtrado de los SID está activado en el dominio de
destino, no se conservará el atributo SID-History porque las referencias del atributo no
corresponderán al dominio Active Directory. Para que los usuarios migrados puedan continuar
utilizando los recursos del dominio de origen hay que desactivar el filtrado de los SID.
Preste atención, si un administrador crea una relación de confianza entre dos bosques con el
objetivo de implementar una autenticación con Kerberos, la sincronización temporal de los
dominios correspondientes no puede superar un desfase de 5 minutos.
El enrutamiento de sufijo de nombre permite agregar los nombres de sufijo (también llamados
sufijos UPN: User Principal Name) como complemento a las cuentas de usuario. De esta forma, el
administrador puede definir en las propiedades de una cuenta de usuario el nombre del sufijo a
emplear para verificar un inicio de sesión en el dominio. Este nombre de sufijo puede ser diferente
de su nombre de dominio. Al igual que una dirección de correo electrónico, un sufijo de nombre se
puede escribir de la siguiente manera: login@<Nombre del dominio>.
Por defecto, cuando editamos las propiedades de una cuenta de usuario, solo el sufijo de nombre
correspondiente al nombre de dominio aparece en la lista desplegable:
Mediante el sufijo de nombre, un usuario puede iniciar sesión en el dominio indicando su login de
conexión seguido del nombre de sufijo autorizado para su cuenta.
Para agregar sufijos de nombre adicionales, basta con realizar las siguientes etapas:
Haga clic con el botón derecho en Dominios y confianzas de active Directory (en la raíz de
consola) y haga clic en Propiedades.
Para realizar los siguientes trabajos prácticos deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Paso 1: inicie una sesión en el servidor DC-03 que es miembro del dominio infonovice.priv y a
continuación, en el Administrador del servidor, haga clic en Agregar roles y características.
Paso 5: en los roles de servidor, marque la opción correspondiente al rol Servicios de dominio
de Active Directory, a continuación haga clic en Agregar características de la ventana
emergente que aparece, y haga clic en Siguiente:
Paso 6: en la ventana Seleccionar características, haga clic en Siguiente.
Paso 10: haga clic en el signo de exclamación del panel triangular amarillo y, a continuación,
haga clic en Promover este servidor a controlador de dominio:
Paso 14: en la ventana Opciones del controlador de dominio, deje las opciones por defecto y, a
continuación, escriba la contraseña DSRM (P@ssw0rd) y haga clic en Siguiente:
Paso 15: en la ventana Opciones de DNS, verifique que la información de identificación indicada
para la creación de una delegación se corresponde a la cuenta Administrador del dominio
INFONOVICE y haga clic en Siguiente:
Paso 16: en la ventana Opciones adicionales, verifique que el nombre NETBIOS que aparece se
corresponde con el dominio USA y haga clic en Siguiente.
Paso 17: en la ventana Rutas de acceso, deje las opciones por defecto y haga clic
en Siguiente(en entornos de PRODUCCIÓN, es recomendable especificar una partición dedicada
para cada ubicación de los elementos de la base de datos AD DS, archivos de registro y directorio
SYSVOL).
Paso 19: en la ventana Comprobación de requisitos previos, haga clic en Instalar (en este
punto, verifique que no aparece ningún error en el resumen).
Paso 20: tras el reinicio, podemos constatar que el servidor DC-03 se ha promovido
correctamente controlador de dominio en el subdominio usa.infonovice.priv.
Paso 2: despliegue el árbol de la consola Dominios y confianzas de Active Directory, haga clic
con el botón derecho en el dominio infonovice.priv y, a continuación, haga clic en Propiedades.
Paso 5: en la ventana Nombre de confianza escriba oxylive.local (que corresponde al nombre del
dominio al que queremos dar confianza) en el campo Nombre. A continuación, haga clic
enSiguiente:
Paso 12: en la ventana Se ha completado la selección de confianzas, haga clic dos veces
enSiguiente.
Paso 15: en la ventana Finalización del Asistente para nueva confianza, haga clic
en Finalizary, a continuación, haga clic en Aceptar para cerrar la ventana emergente de
información sobre la activación del filtrado de identificador de seguridad (SID).
Paso 16: podemos en adelante constatar, en la pestaña Confianzas de las propiedades del
dominio infonovice.priv, que la relación de confianza externa con el dominio oxylive.local se ha
creado correctamente. La relación de confianza no es transitiva porque se trata de un tipo de
aprobación de bosque externo:
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos a la implantación distribuida de
Active Directory en Microsoft Windows Server 2012 R2. Podríamos resumirlo de la manera siguiente:
Una infraestructura Active Directory se encuentra organizada jerárquicamente con una gestión
administrativa que incluye bosques y dominios.
Las relaciones de confianza permiten autorizar a los usuarios externos para acceder a los
recursos internos del dominio.
1. Preguntas
1 ¿Cuál es el nombre del grupo de usuarios que poseen permisos de administración con control
total sobre todos los objetos del bosque?
4 ¿Qué herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?
6 ¿Qué consola de administración permite personalizar los sufijos UPN de los usuarios del
dominio?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /7
3. Respuestas
1 ¿Cuál es el nombre del grupo de usuarios que poseen permisos de administración con control
total sobre todos los objetos del bosque?
El grupo integrado Administradores de empresas posee control total sobre el conjunto del bosque.
Cuando una infraestructura Active Directory no cuenta con ningún controlador de dominio que
emplee el sistema operativo Windows Server 2012 R2, es imperativo actualizar el esquema antes
de integrar el primer controlador de dominio bajo Windows Server 2012 R2. El administrador utiliza
entonces la herramienta ADPREP.exe, disponible en la carpeta \Support\adprep del DVD de
instalación.
4 ¿Qué herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?
La herramienta de migración ADMT (Active Directory Migration Tools) permite migrar los recursos
de un dominio fuente a un dominio de destino. Esta herramienta está disponible de forma gratuita
en el sitio de Microsoft.
El historial de SID (SID-History) es un atributo asociado a una cuenta de usuario. Cuando se migra
una cuenta de usuario de un dominio a otro, este último conserva el atributo SID de su cuenta
inicial en el atributo SID-History de su nueva cuenta de usuario en el nuevo dominio. Esta acción
tiene como objeto conservar los permisos de acceso a los recursos del dominio original que no han
sido todavía migrados.
6 ¿Qué consola de administración permite personalizar los sufijos UPN de los usuarios del
dominio?
La consola Dom inios y confianzas de Activ e Directory permite personalizar los sufijos UPN
disponibles para el conjunto de los usuarios del dominio. Basta con editar las propiedades del nodo
raíz de la consola para agregar los sufijos UPN.
Una relación de confianza consiste en autorizar a los usuarios de un dominio para acceder a los
recursos de otro dominio.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los servicios de dominio Active Directory.
2. Objetivos
Comprender los sitios Active Directory.
Una red fuertemente conectada representa un sitio de Active Directory donde las
replicaciones de los cambios aportados a Active Directory son instantáneas.
Una red menos fuertemente conectada estaría representada por conexiones lentas, menos
fiables o costosas. No es indispensable replicar los cambios inmediatamente en este tipo de
red, para optimizar el rendimiento, reducir los costes o ahorrar ancho de banda. Sería posible
realizar por la noche la replicación de las particiones del directorio entre dos sitios para no
interferir con el tráfico de los usuarios y penalizar la calidad de servicio en entornos con
anchos de banda reducidos. Hablamos de una conexión lenta cuando su ancho de banda es
inferior a los 512 Kbps. Es pues recomendable crear un sitio para delimitar esta parte de la
red. De esta forma, un usuario conectado a un sitio donde la conexión con la sede central sea
lenta se verá obligado a conectarse a un controlador de dominio de su sitio.
Los sitios
La programación de replicación
La ubicación de los servicios permite a los clientes de un sitio localizar el controlador de dominio
más cercano a su ubicación geográfica, o un servicio de red próximo a su sitio, con el objetivo de
utilizar los recursos de su sitio en lugar de solicitar recursos de un sitio remoto.
Los sitios de Active Directory ayudan a localizar los servicios, incluyendo aquellos proporcionados
por los controladores de dominio. Durante el inicio de sesión, los clientes de Windows se redirigen,
automáticamente, a un controlador de dominio de su sitio. Si no se encuentra disponible ningún
controlador de dominio en el sitio, se les redirige hacia el controlador de dominio de otro sitio que
será capaz de identificarles.
Para que un usuario identifique los recursos disponibles en su sitio, el equipo cliente efectúa una
petición DNS para consultar el conjunto de registros de tipo SRV. Un registro SRV permite indicar
qué servidor ofrece un servicio en la red:
Cada servidor que se une a un dominio anuncia los servicios creando registros DNS
llamadosUbicación de servicio o registro SRV.
Mediante los sitios, los usuarios contactan con los servidores del sitio que disponen del servicio
adecuado.
2. Los sitios
Durante la creación del primer dominio de un bosque, los servicios de dominio Active Directory crean
automáticamente un sitio por defecto llamado Default-First-Site-Name (es recomendable renombrar
el sitio por defecto para darle un nombre más representativo).
También es recomendable crear un sitio para una parte de la red que albergue al menos un
controlador de dominio o un servicio de recursos DFS replicado.
Para definir un sitio, hay que crear un objeto de clase Site. Este objeto es un contenedor que
permite gestionar la replicación entre controladores de dominio.
3. Las subredes
Las subredes permiten a los clientes saber a qué sitio pertenecen en función de su dirección IP. Es
importante definir cada subred IP (IPv4 o IPv6) como un objeto de tipo subred Active Directory (LAN,
WAN, VPN). Si la dirección IP de un cliente no está comprendida en el rango de direcciones de una
subred, el cliente no será capaz de determinar a qué subred pertenece y esto puede acarrear
problemas de rendimiento.
Un sitio es solo útil cuando los clientes y los servidores saben a qué sitio pertenecen. Para conseguir
esto, la dirección IP del equipo cliente debe estar asociada a un sitio existente, y son los objetos de
clase subred los que permiten establecer esta asociación. Por tanto debemos definir previamente las
subredes de cada sitio.
Una subred está asociada a un sitio. Cuando un cliente se conecta al dominio, se identifica de
inmediato con su dirección IP para ser redirigido a un controlador de dominio de su sitio. Los objetos
de tipo Subred se almacenan en la partición de configuración del
directorio:CN=Subnet,CN=Schema,CN=Configuration,DC=<Dominio raíz del
bosque>
Un sitio puede poseer varias subredes. Las conexiones VPN deben definirse, también, en los objetos
de subred.
Como recordatorio, cuando una empresa tiene una infraestructura de Active Directory con varios
dominios, un servidor de catálogo global tiene una réplica de los objetos de los otros dominios. De
esta forma, un usuario de un dominio A podrá efectuar una búsqueda de un objeto situado en un
dominio B consultando un servidor de catálogo global de su dominio:
Para definir un controlador de dominio como servidor de catálogo global, basta con abrir la
consolaSitios y servicios de Active Directory, editar las propiedades del objeto NTDS Settings
asociado al controlador de dominio que se va a configurar y marcar la opción Catálogo global.
Los servidores de catálogo global tienen una utilidad muy importante en una infraestructura
multisitio.
Todos los sitios pertenecientes al mismo vínculo de sitio pueden replicarse entre sí gracias a la
topología de replicación calculada automáticamente.
Por defecto cuando creamos un bosque, el objeto vínculo de sitios DEFAULTIPSITELINK se crea en
el complemento Sitios y servicios de Active Directory. En una estructura Active Directory compuesta
de varios sitios se recomienda crear manualmente los vínculos de sitios que reflejen la topología
física de la red.
Por defecto, todos los vínculos de sitios creados automáticamente por la topología de replicación
son transitivos, lo que significa que están interconectados para aumentar la tolerancia a fallos
relacionados con la replicación. Para desactivar la transitividad de los vínculos de sitios
automáticos, basta con deshabilitar la opción Enlazar todos los vínculos a sitios en las
propiedades del nodo vinculado al protocolo de transporte IP: Sites\Inter-Site Transport\IP.
Si la transitividad de los vínculos de sitios se encuentra deshabilitada, el administrador debe
entonces configurar manualmente los vínculos de sitios para obtener una ruta de replicación válida
en caso de error o pérdida de contacto con uno de los sitios, hablamos entonces de creación de
puentes de sitios.
Durante la edición de las propiedades de un vínculo de sitios, podemos configurar las opciones
siguientes:
La descripción.
La programación de la replicación.
La descripción del vínculo de sitios es una información disponible para los administradores de la
infraestructura Active Directory. Permite identificar claramente un vínculo de sitios y conocer su
utilidad en el caso de una topología de replicación compleja.
Los costes del vínculo de sitios se utilizan para gestionar el tráfico de replicación. Los costes más
altos se utilizan para enlaces lentos y los costes más bajos para enlaces rápidos. Por defecto,
todos los vínculos están configurados con un coste con el valor 100.
La replicación entre sitios se basa en la exploración, no hay notificación de cambios para iniciar el
proceso de replicación. De manera predeterminada, cada 3 horas (180 minutos) un servidor
cabeza de puente interrogará a sus asociados de replicación para determinar si existen
modificaciones disponibles. Podemos modificar este valor para reducir el intervalo de exploración,
sabiendo que el valor mínimo es de 15 minutos.
La programación de la replicación del vínculo de sitios permite indicar la franja horaria autorizada
para la exploración y la replicación entre sitios.
Los vínculos de sitios deben poseer al menos dos sitios para poder ser creados.
7. Los puentes de sitio
Los puentes de sitio permiten crear manualmente vínculos entre sitios transitivos cuando la creación
de vínculos automática está desactivada. Cada vínculo de sitios posee entonces un controlador de
dominio servidor haciendo de cabeza de puente.
Cada sitio puede estar configurado para disponer de un servidor cabeza de puente que replicará los
datos a un servidor cabeza de puente de otro sitio. La creación de un puente de sitio se hace a
través de la consola Sitios y servicios de Active Directory, en el contenedor Inter-Site Transports \
IP:
Trabajos prácticos
La empresa INFONOVICE posee un sitio en Madrid y otro en León, y desea configurar los sitios de
Active Directory para que los usuarios de cada ciudad puedan identificar los recursos de sus sitios.
Para ello, solicitan sus servicios para configurar los controladores de dominio empleando la consola
Sitios y servicios de Active Directory para que los clientes puedan identificar su sitio de pertenencia.
Los sitios están conectados empleando un enlace de alta velocidad. Para evitar cualquier problema de
pérdida de comunicación con el servidor de catálogo global del sitio de León, activará la funcionalidad
de actualización en caché de los grupos universales.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Paso 2: despliegue el árbol de la consola para seleccionar el sitio por defecto llamado Default-
First-Site-Name.
Paso 3: haga clic con el botón derecho en el sitio por defecto y, a continuación, haga clic
enCambiar nombre. Escriba Madrid y valide la modificación:
Paso 2: en el árbol de la consola, haga clic con el botón derecho en la carpeta Sites y, a
continuación, haga clic en Nuevo sitio - Sitio.
Paso 3: en la ventana Nuevo objeto: Sitio, escriba León en el campo Nombre. A continuación,
seleccione el objeto de vínculo a sitios llamado DEFAULTIPSITELINK y haga clic en Aceptar:
Paso 4: la siguiente ventana le informa sobre las mejores prácticas a seguir después de la
creación de un objeto Sitio. Léalas y haga clic en Aceptar:
Paso 2: despliegue el árbol de la consola para desarrollar los nodos Sites, Madrid y Servers.
Aparece el conjunto de controladores de dominio porque el sitio Madrid era previamente el sitio
por defecto:
Paso 3: haga clic con el botón derecho en el controlador de dominio DC-02 y haga clic en Mover.
4. Crear subredes
Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 3: a continuación, haga clic con el botón derecho en la carpeta Subnets y haga clic
enNueva - Subred.
Paso 6: haga de nuevo clic con el botón derecho en la carpeta Subnets y haga clic en Nueva -
Subred.
Paso 2: despliegue el árbol de la consola para desarrollar el nodo Sites - León - Servers - DC-
02.
Paso 4: en la ventana Propiedades: NTDS Settings, verifique que la opción Catálogo globalestá
seleccionada y, a continuación, haga clic en Aceptar:
El controlador de dominio DC-02 está, ahora, configurado para actuar como catálogo global en el
sitio de León.
6. Configurar la caché
Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 3: en la parte derecha de la ventana Sitios y servicios de Active Directory, haga clic con
el botón derecho en NTDS Site Settings y haga clic en Propiedades:
Paso 4: en la ventana Propiedades: NTDS Site Settings, marque la opción Habilitar caché de
pertenencia al grupo universal. En la lista desplegable, especifique la actualización de la caché
desde Madrid y, a continuación, haga clic en Aceptar:
Los sitios Active Directory son objetos del directorio almacenados en la partición de
configuración.
Los sitios ayudan a los clientes a autenticarse en un controlador de dominio de su mismo sitio.
El catálogo global contiene un juego de atributos parcial de los objetos del bosque.
La consola Sitios y servicios de Active Directory permite gestionar los sitios y vínculos de sitio.
Un vínculo a sitio contiene varios sitios que están autorizados a replicarse entre sí.
1. Preguntas
1 ¿En qué partición del directorio se almacenan los objetos Sitios?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /8
3. Respuestas
1 ¿En qué partición del directorio se almacenan los objetos Sitios?
El complemento Sitios y servicios de Active Directory permite gestionar los objetos Site. Este
complemento se encuentra en la carpeta %SYSTEMROOT%\System 32\dssite.m sc
Los objetos Subred están almacenados en la partición Configuration del directorio en la ubicación
siguiente: CN=Subnet,CN=Schem a,CN=Configuration,DC=<Dom inio raíz del bosque>
Para configurar un controlador de dominio como servidor de catálogo global hay que abrir la consola
Sitios y servicios de Active Directory, editar las propiedades NTDS Settings asociado al objeto de
servidor, y marcar la opción Catálogo global.
Un vínculo de sitio debe poseer al menos dos sitios para poder ser creado.
La funcionalidad UGMC (Universal Group Membership Caching) permite almacenar en caché los
datos de pertenencia a grupos universales. Ésta permite autorizar la autenticación de usuarios
cuando ningún servidor de catálogo global está disponible.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los servicios de dominio Active Directory.
2. Objetivos
Comprender la replicación de Active Directory.
Configuración: contiene los objetos que representan la estructura lógica del bosque - los
dominios - y la topología física - los sitios, las subredes y los servicios.
Esquema: define las clases de objeto y sus atributos, que pueden estar contenidos en la
base de datos de Active Directory.
Partición de esquema
Partición de configuración
Partición de dominio
Partición de aplicación
Los servicios de dominio Active Directory son responsables de mantener actualizados los datos
contenidos en cada controlador de dominio implementando una topología de replicación que
encargará a los controladores de dominio replicar las particiones modificadas que se encuentran en
los controladores de dominio configurados en la topología de replicación. Los controladores de
dominio se convierten en asociados de replicación. Este conjunto de réplicas entre los controladores
de dominio aporta un gran nivel de tolerancia a fallos. Si algún controlador de dominio se quedara,
súbitamente, sin servicio, tanto la autenticación de los usuarios como la gestión de los permisos
dentro del dominio seguirían funcionando, porque los asociados de replicación todavía en línea
contienen, también, una copia de la base de datos Active Directory.
a. Programación de la replicación
Como mencionamos previamente, cada controlador de dominio conserva y mantiene una copia
actualizada de la base de datos Active Directory pero, ¿cómo saber cuándo y qué replicar?
Una infraestructura de replicación de varios maestros implica que cualquier controlador de dominio
de escritura puede forzar una replicación cuando se modifica su contenido. Para saber si ha tenido
lugar algún cambio en el dominio, los controladores de dominio interrogan periódicamente a sus
asociados de replicación para saber si la replicación es necesaria o no (Polling).
Para sitios conectados mediante enlaces de baja velocidad, puede ser imperativo reducir el tráfico
de replicación Active Directory autorizando a los controladores de dominio a escrutar las
actualizaciones de sus asociados de replicación en una franja horaria donde la tasa de actividad
de los usuarios sea inferior. Solo las actualizaciones importantes, como la modificación de una
contraseña, podrán generar una replicación inmediata entre los diferentes asociados de la
topología de replicación.
b. Topología de replicación
Por defecto, los servicios de dominio Active Directory crean automáticamente la topología de
replicación. Cuando un administrador agrega un controlador de dominio, el objeto que representa
la cuenta de equipo del servidor se agrega automáticamente en la consola Sitios y servicios de
Active Directory. Para construir la topología de replicación, los servicios de dominio Active
Directory utilizan el componente Comprobador de coherencia (KCC, Knowledge
ConsistencyChecker) que crea automáticamente un objeto de conexión en la consola Sitios y
servicios de Active Directory para indicar los diferentes asociados de replicación de los
controladores de dominio. Esto permite saber en qué controladores de dominio replicar los datos.
Si se elimina algún controlador de dominio, el comprobador de coherencia actualiza los objetos de
conexión reorganizando dinámicamente la topología de replicación.
Cuando dos sitios de una infraestructura intercambian datos, la topología de replicación Active
Directory (KCC) emplea una ruta lógica para replicar los datos. Cada sitio se encuentra lógicamente
conectado a otro sitio a través de un controlador de dominio que se encargará de replicar los
datos entre los sitios.
Si la infraestructura Active Directory está compuesta de varios sitios, una topología de replicación
entre sitios (ISTG: Inter Site Topology Generator) se despliega para que cada sitio pueda encontrar
una ruta de replicación a través de un controlador de dominio perteneciente a otro sitio. El
generador de topología entre sitios crea automáticamente los objetos de conexión para crear las
rutas de replicación Active Directory.
DS-RPC (Directory Service Remote Procedure Call): DS-RPC aparece en el complemento Sitios
y servicios de Active Directory bajo la forma IP. IP se utiliza en toda replicación entre
sitios y es el protocolo preferido por defecto por la replicación entre sitios.
ISM-SMTP (Inter Site Messaging - Simple Mail Transfer Protocol): este protocolo solo se utiliza
cuando las conexiones entre los sitios no son fiables o no están siempre disponibles. La
implementación de una autoridad certificadora permite la securización del tráfico de
replicación en las redes no fiables. El inconveniente de utilizar el SMTP en una topología de
replicación es que este último no puede utilizarse para replicar el contexto de nomenclatura
del dominio. Por este motivo, la replicación Active Directory empleando el protocolo SMTP en
el conjunto de los controladores de dominio de la empresa debe asegurarse en un dominio
separado. Muy pocas organizaciones utilizan el protocolo SMTP para la replicación Active
Directory debido a la carga administrativa requerida para configurar y gestionar una
autoridad de certificación (CA).
En una topología de replicación, no puede haber más de tres saltos. Esto permite optimizar la
replicación y limitar el tráfico en la red. En una red compuesta de 3 a 5 controladores de dominio, a
razón de cerca de 15 segundos de espera por salto, una modificación en Active Directory se
replicará en menos de un minuto.
Para visualizar la topología de replicación, basta con realizar los siguientes pasos:
Desde el Administrador del servidor, abra la consola Sitios y servicios de Active Directory.
c. Objetos de conexión
Cuando un administrador edita un objeto de conexión, puede modificar los elementos siguientes:
La programación
El asociado de replicación
El campo Contextos de nomenclatura replicados indica las particiones que se replicarán en el
asociado de replicación. Encontramos, en particular, las particiones de:
Esquema
Configuración
ForestDnsZone
DomainDnsZone
El botón Cambiar programación permite especificar las franjas horarias autorizadas para realizar
una replicación Active Directory entre los asociados de replicación del objeto de conexión
específico:
El botón Cambiar de la sección Replicar desde permite especificar el controlador de dominio sobre
el que se replicarán los datos Active Directory:
Haga clic con el botón derecho en el objeto de conexión generado por el comprobador de
coherencia y haga clic en Replicar ahora:
Haga clic con el botón derecho en NTDS Settings, haga clic en Todas las tareas y, a
continuación, en Comprobar la topología de replicación.
Haga clic con el botón derecho en NTDS Settings, haga clic en Nuevo y, a continuación,
despliegue en Conexión.
El nuevo objeto de conexión aparece, ahora, en la consola Sitios y servicios de Active Directory:
d. Replicación a los RODC
Una infraestructura Active Directory utiliza un sistema de replicación de varios dominios, debido a
que un administrador puede crear o modificar objetos en cualquier controlador de dominio y los
cambios se replican en otros controladores de dominio. Un controlador de dominio de solo lectura
(RODC) no puede ser alterado por un administrador. Esto no impide al comprobador de coherencia
(KCC) crear objetos de conexión destinados a replicar los datos de un controlador de dominio de
escritura sobre un controlador de dominio de solo lectura. En este caso particular, el comprobador
de coherencia creará una topología de replicación unidireccional para actualizar los controladores
de dominio de solo lectura.
Sin embargo, a veces ocurre que una operación necesita una escritura en la base de datos Active
Directory. En este caso, el controlador de dominio de solo lectura transfiere la solicitud de escritura
a un controlador de dominio en escritura. Una vez realizada la modificación, el controlador de
dominio que haya realizado el registro replica el contenido de la base de datos Active Directory que
contiene el controlador de dominio de solo lectura. El controlador de dominio de solo lectura indica
de esta forma a la aplicación o el usuario que haya realizado la solicitud de escritura el nombre del
controlador de dominio que debe contactar para seguir las operaciones de modificación de la base
de datos Active Directory:
La principal utilidad de un controlador de dominio de solo lectura (RODC: Read Only Domain
Controller) es mejorar el proceso de autenticación de los usuarios de un sitio remoto y mejorar la
seguridad sin almacenar ninguna contraseña. Sin embargo, es posible activar la escritura en caché
de algunas contraseñas de cuentas de usuario configurando una directiva de replicación de
contraseñas para los controladores de dominio de solo lectura. Cuando la contraseña de una
cuenta de usuario se almacena en caché, el servidor RODC puede autenticar directamente a un
usuario asignándole un ticket de servicio que le permite acceder a los recursos. En caso contrario,
el servidor RODC transmite la solicitud de autenticación del usuario a un controlador de dominio en
escritura. Solo las cuentas de usuario miembros del grupo de seguridad del dominio local Grupo de
replicación de contraseña RODC permitida, pueden tener su contraseña guardada en caché en
un RODC.
La directiva de replicación de contraseña de un servidor RODC define, entonces, aquellas cuentas
de usuario cuyas contraseñas se almacenarán en caché. Para acceder a la configuración de la
directiva de replicación de contraseñas basta con editar las propiedades de un controlador de
dominio en lectura desde la consola Usuarios y equipos de Active Directory:
La directiva de replicación de contraseñas de un RODC contiene varios grupos por defecto:
Administradores
Opers. de cuentas
Opers. de servidores
Solo el grupo donde las contraseñas RODC están permitidas tiene configurado el parámetro
comoPermitir. Por defecto, el grupo llamado Grupo de replicación de contraseña RODC
permitida no contiene ninguna cuenta de usuario definida. El administrador debe, por tanto,
configurar manualmente la directiva de replicación de contraseñas.
Para que un usuario cuya contraseña se ha guardada en caché pueda iniciar una sesión en un
controlador de dominio de solo lectura, la contraseña de la cuenta del equipo del usuario debe
estar, también, configurada para guardarse en caché.
En una infraestructura Active Directory que emplea una replicación de varios dominios, si dos
administradores trabajan cada uno en un controlador de dominio distinto y realizan una
modificación al mismo tiempo sobre el mismo objeto, indicando valores diferentes para el mismo
atributo, se puede producir un conflicto de replicación. Para evitar esta situación, Microsoft ha
implementado un sistema de detección de conflictos que permite aportar una solución adecuada
para todas las posibles situaciones que puedan causar un conflicto de actualización.
Para ello, cada objeto de Active Directory posee los siguientes atributos específicos que ayudan a
resolver conflictos de replicación:
La carpeta SYSVOL es una carpeta local que se crea automáticamente durante la promoción de un
servidor a controlador de dominio para albergar los servicios de dominio Active Directory.
Scripts de inicio de sesión: si un administrador crea un script de inicio de sesión para que
los usuarios puedan acceder a él desde la red, el script será depositado en la
carpetaC:\Windows\SYSVOL\domain\scripts.
La carpeta SYSVOL es muy importante para el buen funcionamiento de los servicios de dominio
Active Directory.
Para que cada controlador de dominio mantenga y albergue una misma copia del directorio
SYSVOL, el proceso de replicación definido por el comprobador de coherencia asegura que el
conjunto de los controladores de dominio estén actualizados. Se trata de una replicación de
archivos de un controlador de dominio a otro. En las versiones anteriores de Windows Server, el
proceso encargado de replicar el directorio SYSVOL era FRS (File Replication System). A partir de
Windows Server 2008, se utiliza el proceso DFS-R (Distributed File System Replication).
Para realizar la replicación de la carpeta SYSVOL con DFS-R, el nivel funcional del dominio debe
estar configurado al menos como Windows Server 2008.
Para migrar el sistema de replicación de la carpeta SYSVOL para utilizar el sistema de replicación
DFS-R, el administrador del sistema debe utilizar la herramienta DFSRMIG ubicada
enC:\Windows\System32\Dfsrmig.exe.
0 (start): etapa por defecto del controlador de dominio. Solo se utiliza FRS para replicar el
directorio SYSVOL en esta etapa.
1 (prepared): se crea una copia del directorio SYSVOL en una carpeta llamada
SYSVOL_DFSR y, a continuación, se agrega al juego de replicación existente. DFS-R replica a
continuación el contenido de las carpetas SYSVOL_DFSR en todos los controladores de
dominio. FRS sigue replicando las carpetas SYSVOL originales y los clientes siguen utilizando
el directorio SYSVOL en esta etapa.
Getglobalstate: esta opción reporta del estado de la migración DFS-R global en curso.
Getmigrationstate: esta opción reporta el estado de la migración en curso de cada
controlador de dominio. La opción Getmigrationstatepermite controlar el progreso de
los controladores de dominio indicando el estado de la migración DFS-R.
En caso de producirse algún problema al pasar de una etapa a la siguiente, es posible volver
a las etapas anteriores utilizando la opción setglobalstate. Sin embargo, después de haber
usado la opción setglobalstate para especificar la etapa 3 (eliminated), es imposible volver a las
etapas anteriores.
Dcdiag.exe: es una herramienta por línea de comandos que permite diagnosticar el estado
de los servicios de directorio. Esta herramienta realiza un número de verificaciones y genera
un informe del estado global de la replicación y de la seguridad de los servicios de dominio de
Active Directory. El uso de la herramienta dcdiag.exe sin parámetros ejecuta un conjunto de
pruebas y presenta los resultados.
Ejemplo de comandos dcdiag.exe:
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Requisitos previos:
1. Configurar la replicación
Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 2: despliegue el árbol de la consola: Sitios y servicios de Active Directory - Sites - Inter-
Site Transports - IP. Haga clic con el botón derecho en IP y haga clic en Nuevo vínculo a sitios.
Paso 6: haga clic con el botón derecho en DEFAULTIPSITELINK para cambiar el nombre del
vínculo por defecto escribiendo CENTRALES:
Paso 7: edite las propiedades del vínculo CENTRALES para configurar el campo Replicar
cada en60 minutos. Asigne solamente los sitios de Madrid y León en este vínculo y haga clic
en Aceptar:
La replicación está, ahora, configurada con los vínculos de sitio creados manualmente. Los
controladores de dominio situados en el vínculo CENTRALES se replicarán cada 60 minutos, mientras
que los controladores de dominio situados en el vínculo SUCURSALES se replicarán entre sí cada 240
minutos:
Paso 4: haga clic con el botón derecho en el controlador de dominio DC-04 (cuyo tipo está
indicado como solo lectura, GC) y haga clic en Propiedades.
Paso 7: seguidamente busque el grupo de seguridad global llamado Usuarios-Toledo y haga clic
en Aceptar dos veces:
Paso 9: en la ventana Directiva de replicación de contraseñas avanzada para DC-04, haga clic
en la pestaña Directiva resultante y, a continuación, haga clic en el botón Agregar.
Paso 10: busque la cuenta de usuario llamada Usuario1 y, a continuación, haga clic en Aceptar.
La cuenta aparece con una configuración resultante Permitir. Esto quiere decir que la contraseña
de la cuenta de usuario seleccionado está autorizada a ser guardada en caché en el servidor
RODC:
Paso 13: busque las cuentas de usuario Usuario1 y Usuario2 y, a continuación, haga clic
enAceptar:
Paso 14: se abre la ventana Rellenar contraseñas previamente. El mensaje de aviso indica que
las cuentas de equipo usadas para el inicio de sesión por los usuarios seleccionados deben
agregarse también al grupo de contraseña autorizado en RODC. Haga clic en Sí:
Paso 15: haga clic en Aceptar:
Paso 16: agregue el grupo de seguridad global Equipos-Toledo en el grupo llamado Grupo de
replicación de contraseña RODC permitida:
Paso 17: repita las etapas 11 a 12 para buscar las cuentas de equipo Equipo1 y Equipo2. Haga
clic en Sí para rellenar las contraseñas de las cuentas de equipo:
3. Monitorizar la replicación
Paso 1: abra un símbolo del sistema con privilegios de administrador.
Paso 2: escriba el comando siguiente para mostrar todos los socios de replicación del controlador
de dominio DC-01:
repadmin /kcc
Paso 5: escriba el comando siguiente para forzar la sincronización del controlador de dominio DC-
01 con todos sus socios de replicación:
dcdiag /test:topology
Paso 7: escriba el comando siguiente para comprobar la puntualidad del controlador de dominio
sobre el que se ejecuta el comando:
dcdiag /test:replications
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos a la replicación de Active Directory
en Microsoft Windows Server 2012 R2. Podríamos resumirse de la siguiente manera:
En una infraestructura Active Directory que cuente con más de un controlador de dominio, cada
modificación en el directorio se replica en los demás controladores de dominio.
Existen dos tipos de controladores de dominio. Los controladores de dominio de escritura y los
controlador de dominio de solo lectura (RODC).
El directorio está dividido en varias particiones que se replican, algunas a escala de bosque
(partición de esquema y de configuración) y otras a escala de dominio (partición de dominio y
de aplicación).
Los servidores RODC pueden guardar en caché la contraseña de las cuentas de usuario y
equipos mediante una directiva de replicación de contraseñas.
1. Preguntas
1 ¿Qué componente de la infraestructura Active Directory es responsable de la creación de una
topología de replicación?
3 ¿Qué acciones debe realizar un administrador para poner en caché en un RODC las
contraseñas de las cuentas de usuario o equipos?
4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicación.
9 Cite dos métodos que permitan forzar la replicación Active Directory entre dos socios de
replicación.
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /9
3. Respuestas
1 ¿Qué componente de la infraestructura Active Directory es responsable de la creación de una
topología de replicación?
El complemento Sitios y servicios de Active Directory permite gestionar las replicaciones Active
Directory.
3 ¿Qué acciones debe realizar un administrador para poner en caché en un RODC las
contraseñas de las cuentas de usuario o equipos?
4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicación.
Para resolver conflictos de replicación, Active Directory puede verificar los siguientes atributos:
Para migrar el sistema de replicación FRS de la carpeta SYSVOL para utilizar el sistema de
replicación DFS-R los administradores pueden utilizar la herramienta DFSRMIG ubicada en:
C:\Windows\System32\Dfsrmig.exe
9 Cite dos métodos que permitan forzar la replicación Active Directory entre dos socios de
replicación.
1. Requisitos previos
Conocimiento básico de la administración de Windows Server 2012 R2.
2. Objetivos
Saber administrar una infraestructura de clave pública.
1. Presentación de PKI
Las infraestructuras de clave pública (PKI) se han creado con el objetivo de probar a los demás que
es realmente quien dice ser durante un intercambio de datos a través de una red informática. La
identidad de cada entidad, componente de red, individuo, sistema u otros puede ser verificada
empleando un certificado emitido por una entidad de certificación aprobada. Los certificados digitales
forman parte integral de una infraestructura de claves públicas y pueden ser totalmente
transparentes para un usuario que emplea un ordenador a diario. Encontramos el uso de los
certificados en todo tipo de elementos, sea para securizar una conexión VPN IPsec (Virtual Private
Network Internet Protocol security), el intercambio de correos electrónicos, efectuar un pago en línea
en un sitio comercial (sitio web HTTPS empleando un certificado SSL) o securizar el acceso a archivos
o carpetas utilizando un sistema de cifrado EFS (Encrypting File System). Las infraestructuras de
clave pública nos ayudan pues a securizar las comunicaciones informáticas y, en particular, a
establecer vínculos de confianza entre las personas físicas y los certificados digitales igual que lo
haría un documento nacional de identidad. Un administrador a cargo de una infraestructura de clave
pública debe distribuir los certificados digitales con extremo cuidado a las personas que formen
parte de su organización y revocar los certificados de aquellos usuarios que ya no formen parte de
la misma.
Por ejemplo, cuando consulta el sitio Internet de su banco para verificar sus cuentas, el acceso se
encuentra probablemente securizado empleando una página web HTTPS que utiliza un certificado
SSL. Si muestra las propiedades del certificado, puede constatar que posee información de la
entidad de certificación que ha proporcionado el certificado a su banco. Su navegador acepta
mostrar la página solicitada porque el certificado ha sido emitido por una entidad de certificación
comercial aprobada como, por ejemplo, VeriSign. Por defecto, su navegador de Internet contiene
una lista de entidades de certificación comerciales aprobadas. Esta lista se actualiza
automáticamente cuando realiza una actualización de su sistema operativo. La lista de
certificaciones comerciales aprobadas está disponible en las opciones de su navegador web
(pestaña Contenido para Internet Explorer y la pestaña Cifrado en opciones, o la
opción avanzadopara Mozilla Firefox):
2. Componentes de una PKI
Una infraestructura de clave pública se compone de varios elementos de los cuales algunos ofrecen
servicios a los usuarios. Encontramos por ejemplo los elementos siguientes:
Las entidades de certificación (CA: Certificate Authority): permiten crear y gestionar los
certificados. Las entidades de certificación pueden estar estructuradas bajo diferentes formas
jerárquicas que podemos definir de dos o tres niveles.
Los certificados digitales: los certificados los distribuye una entidad de certificación
aprobada por la organización (CA interna o comercial). Los certificados sirven para autenticar
un servicio, un servidor, un usuario o un sitio comercial. En el caso de un sitio web, por
ejemplo, el certificado emitido debe poseer, como atributo, el nombre DNS del sitio web
accedido por los usuarios mediante una URL. Si el nombre no se corresponde, el usuario no
podrá acceder a la información securizada. Esto permite asignar un certificado válido para un
único servicio. Lo mismo ocurre con un certificado de usuario que contiene el nombre y
apellidos de la persona interesada. La autenticación por certificado solo funciona si se verifica
la identidad del usuario.
Las claves públicas y las claves privadas: se emplean para cifrar y descifrar los datos.
Los equipos cliente: los usuarios pueden utilizar sus puestos cliente para solicitar
certificados a una entidad de certificación declarada en Active Directory o mediante un
formulario de una página web de la entidad de certificación. También pueden acceder a sitios
securizados por certificados. Los equipos cliente tienen una lista de entidades emisoras de
certificados de confianza (accesible desde un navegador web o el complemento Certificados),
lo que les permite validar el acceso a sitios web mediante certificados emitidos por entidades
de certificación comerciales.
Las listas de revocación de certificados (CRL: Certificate Revocation Lists): representan las
listas emitidas por entidades de certificación y los certificados digitales que ya no son válidos
o están revocados. Una entidad de certificación mantiene actualizada esta lista que contiene
el detalle de la asignación de certificados indicando las fechas de validez, así como aquellos
certificados que han sido revocados. Cuando se presenta un certificado para acceder a un
servicio, un inicio de sesión o una solicitud de cifrado, el sistema de autenticación o de
verificación accede automáticamente a una lista de revocación diaria desde una entidad de
certificación aprobada para verificar la validez del certificado. Si éste aparece en la lista, el
acceso es simple y llanamente denegado. Si la CRL introducida en el certificado no se puede
obtener, el acceso es igualmente denegado.
Los respondedores en línea: los clientes pueden emplear un respondedor en línea para
interrogar a una entidad de certificación directamente para conocer el estado de un
certificado recién presentado. Este proceso es más rápido que la descarga y la consulta de
una nueva lista de revocación de certificados.
A partir de las anteriores versiones de Windows Server, Microsoft integra en su sistema operativo
un componente que permite la instalación, configuración y gestión de entidades de certificación. A
partir de Windows Server 2008, este componente aparece como un rol de servidor, mejor conocido
bajo el nombre de Active Directory Certificate Services (AD CS).
3. Cifrado
Cuando un administrador desea securizar datos informáticos, puede implementar todo tipo de
sistemas o tecnologías haciendo imposible el acceso de una persona no autorizada. Pero, ¿qué pasa
si los datos securizados son interceptados en la red o sustraídos con el robo de un servidor o de un
disco duro de la empresa? Todo dato no protegido puede, por definición, accederse de forma
abierta. Esto quiere decir que cualquier persona con malas intenciones puede acceder a sus datos
sin mucho esfuerzo una vez que la seguridad principal ha sido anulada. Para garantizar la integridad
de sus datos, es posible securizar el conjunto de los elementos basándose en certificados para
cifrar y descifrar los datos o información del sistema.
Una infraestructura de clave pública ofrece a su vez servicios criptográficos, que permiten mantener
la integridad de los datos del sistema de información. Una infraestructura PKI se basa en dos
métodos de cifrado de los datos:
Cifrado simétrico (por clave secreta): el uso de un cifrado simétrico necesita el intercambio
de un secreto compartido entre dos componentes o personas que desean comunicarse. El
cifrado se realiza empleando un mecanismo específico y el secreto intercambiado entre los
dos asociados consiste en revelar el funcionamiento del mecanismo de cifrado. Esto permite a
diferentes asociados poder descifrar los datos cifrados empleando un secreto definido en un
algoritmo. Cualquier individuo que posee el secreto podrá, por tanto, descifrar los datos.
Cifrado asimétrico (por clave pública): el uso de un cifrado asimétrico permite cifrar los
datos empleando un sistema de pares de claves. Se utiliza una clave pública para cifrar los
datos, mientras que se utiliza una clave privada para descifrarlos. La clave pública puede ser
conocida por todos y puede ser intercambiada en redes no seguras. La clave privada debe
sin embargo ser segura y conocida solamente por la persona que va a acceder a los datos
cifrados.
Presentación de AD CS
Los servicios de certificados de Active Directory en Windows Server 2012 R2 se presentan bajo la
forma de un rol de servidor. Este rol permite, en particular, implementar una infraestructura jerárquica
de claves públicas para crear y gestionar los certificados. Mediante AD CS es posible responder a
diferentes necesidades empresariales como la securización de las comunicaciones VPN, WAN, LAN e
inalámbricas, securizar los sitios web IIS o securizar mensajes electrónicos emitidos por un servidor
de mensajería Microsoft Exchange.
1. Servicios de certificados AD CS
Es posible instalar AD CS como una entidad de certificación independiente o empresarial. AD CS
puede proporcionar los servicios de certificados al interior o al exterior de la red empresarial. AD CS
integra funcionalidades adicionales con el sistema operativo Windows Server 2012. Encontramos, en
particular, las novedades siguientes:
Los servicios de rol AD CS pueden instalarse en cualquier edición de Windows Server 2012
R2.
Los servicios de rol AD CS pueden instalarse en una instalación mínima (Core Server).
Los equipos miembro de un grupo de trabajo pueden, ahora, realizar una petición de
renovación de un certificado.
Los servicios AD CS y los clientes PKI reconocen, ahora, los sitios AD DS.
En la versión del sistema operativo Microsoft Windows Server 2008 R2 el tipo de entidad de
certificación empresarial solo puede instalarse en la edición Enterprise o Datacenter.
a. CA independiente
Acceso a la información de entidad emisora (AIA: Authority Information Access): las AIA
permiten indicar a los usuarios la ubicación donde encontrar el certificado de la entidad de
certificación raíz.
b. CA empresarial
Una entidad de certificación empresarial se encuentra integrada en los servicios de dominio Active
Directory. En una infraestructura de claves públicas, las CA empresariales se utilizan, por lo
general, como entidad de certificación emisora. La instalación de este tipo de CA se realiza en un
servidor miembro de un dominio. De esta forma, los usuarios del dominio pueden enviar las
solicitudes de certificados que pueden aprobarse directamente en la entidad de certificación
empresarial encargada de emitir los certificados. La instalación de este tipo de CA es dependiente
del sistema operativo que la alberga.
c. Administración de AD CS
La instalación del rol de servidor AD CS agrega a las herramientas administrativas del sistema
operativo la consola de administración Entidad de certificación:
La consola de administración certsrv permite visualizar el estado del servidor mediante un icono
en la autoridad de certificación (Servicio Windows detenido o arrancado). También podemos detener
o arrancar una entidad de certificación desde el complemento:
2. Jerarquía de CA
Una infraestructura de claves públicas puede funcionar empleando un único servidor independiente
que tenga el rol de servidor AD CS. Sin embargo, cuando su infraestructura está compuesta por
varias entidades de certificación, hablamos de una jerarquía de CA. El uso de un único servidor para
la explotación de los servicios de certificados puede debilitar la seguridad de la infraestructura de
claves públicas. Para reforzar la seguridad, podemos agregar entidades de certificación adicionales a
una PKI. Existen diferentes tipos de jerarquía de CA cuya topología corresponderá a los requisitos
de seguridad o necesidades empresariales. En una jerarquía CA de varias capas, un servidor CA raíz
se encarga de asignar los certificados a las CA subordinadas, para que ellas mismas puedan asignar
los certificados a los usuarios, equipos o servicios. En una jerarquía de CA, el nivel más alto se
denomina entidad de certificación raíz. Todo ataque contra el servidor que contiene la CA raíz, o
cualquier CA, puede comprometer la seguridad del conjunto de las CA intermedias o subyacentes.
Por ello es importante securizar las entidades de certificación de mayor nivel colocándolas fuera de
línea o inaccesibles a cualquier intento de intrusión. En la mayoría de las situaciones, las PKI se
implementan en infraestructuras de dos o tres capas.
Una infraestructura de entidad de certificación de dos capas aporta un mínimo de seguridad pues
permite situar fuera de línea a la CA raíz para mantener únicamente a la CA emisora para la
asignación y aprobación de certificados. Generalmente, se implementa una CA raíz independiente
en el nivel más alto y se ubica una CA empresarial emisora en el nivel más bajo para proporcionar
los servicios de certificados a los equipos y usuarios de la red.
Según el modelo de infraestructura de dos capas, se instalan los siguientes tipos de entidades de
certificación:
Una infraestructura de entidad de certificación de tres capas aporta un nivel mayor de seguridad y
disponibilidad porque las CA de mayor nivel pueden dejarse fuera de línea y las CA emisoras
pueden implementarse de manera redundante para aportar una mejor disponibilidad o cubrir una
mayor zona geográfica. Generalmente, se configura una CA raíz independiente en el nivel más alto
y, a continuación, se ubican en segundo nivel las CA raíz independientes intermedias. Por último,
las CA empresariales emisoras se sitúan en el nivel más bajo para proporcionar los servicios de
certificados a los equipos o usuarios de la red.
La CA raíz tiene el nivel más alto de una jerarquía de CA. Durante la creación de una nueva
entidad de certificación raíz, hay que crear obligatoriamente una nueva clave privada.
La selección de un algoritmo hash: los algoritmos hash permiten securizar las claves
utilizando un algoritmo de cálculo específico, destinado a generar información cifrada del par
de claves.
14 proveedores de cifrado:
4 longitudes de clave:
512
1024
2048
4096
7 algoritmos hash:
SHA256
SHA384
SHA512
SHA1
MD5
MD4
MD2
d. CA intermedia
Es necesario instalar, como mínimo, una entidad de certificación intermedia en una jerarquía de
certificados de tres capas. Su objetivo es aportar un nivel de seguridad adicional para proteger a
la entidad de certificación raíz. La CA intermedia recibe un certificado de la CA raíz para funcionar y
emitir un certificado a la CA emisora para que ella funcione a su vez.
e. CA emisora
Una CA emisora debe ser una CA empresarial, instalada con el objetivo de emitir los certificados a
los usuarios, servidores y demás componentes que realicen una solicitud. El uso de una CA
empresarial permite la inscripción automática de los usuarios o los equipos.
3. Servicios de roles AD CS
El rol del servidor AD CS cuenta con seis servicios de rol bajo Windows Server 2012 R2, frente a
cuatro en Windows Server 2008 R2.
a. Entidad de certificación
El servicio de rol Entidad de certificación tiene como objetivo realizar las misiones siguientes:
Expedir certificados.
Revocar certificados.
En Windows Server 2012 R2, es posible en adelante utilizar los comandos de línea PowerShell
para realizar una copia de seguridad o restaurar el servicio de rol entidad de certificación (CA):
Para realizar una copia de seguridad del servicio entidad de certificación, basta con ejecutar el
comando PowerShell siguiente: Backup-CARoleService
Para restaurar el servicio entidad de certificación, basta con ejecutar el comando PowerShell
siguiente: Restore-CARoleService
El servicio de rol Inscripción web de entidad de certificación permite emitir y renovar los
certificados a los usuarios y equipos que no son miembros de un dominio, no están conectados a
la red o que no ejecutan un sistema operativo de Microsoft.
c. Respondedor en línea
El servicio de rol Respondedor en línea utiliza el protocolo OCSP (Online Certificate Status Protocol).
Su objetivo es proporcionar información sobre el estado de revocación de certificados emitidos así
como una lista de revocación de certificados. El uso de este servicio en línea es más rápido que la
consulta a una CRL (Certificate Revocation List, lista de revocación de certificados). Para instalar
este servicio de rol como una entidad de certificación empresarial, el servidor debe ser miembro de
un dominio Active Directory.
El servicio de rol Servicio de inscripción de dispositivos de red (NDES) permite a los dispositivos
de red que no ejecutan el sistema operativo Windows inscribirse en los servicios de certificado AD
CS. Este servicio de rol emplea el protocolo SCEP (Simple Certificate Enrollment Protocol) para
comunicarse con los diferentes componentes de la red.
e. Inscripción de certificados
El servicio de rol Servicios web de inscripción de certificados permite a los usuarios o equipos
solicitar un certificado utilizando el protocolo HTTPS. La instalación solo puede realizarse en un
servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de
certificación empresarial.
f. Directiva de certificados
4. Certificados
Un certificado digital puede ser emitido por una entidad de certificación interna o pública. Sin
embargo, también es posible generar un certificado autofirmado si no se encuentra disponible
ninguna entidad de certificación. Por defecto, todo sistema Microsoft integra las herramientas que
permiten gestionar los certificados autofirmados. Un certificado autofirmado significa que el sistema
se atribuye un certificado que reconoce como válido por si mismo. Un certificado autofirmado solo lo
reconoce como válido el sistema que lo ha generado.
Por ejemplo, tomemos el caso de un administrador que implementa un sitio web IIS al cual debe
accederse mediante el protocolo HTTPS utilizando un certificado autofirmado. Los usuarios que
accedan al sitio web reciben sistemáticamente un mensaje de aviso de su navegador, indicando que
el certificado presentado por el sitio no se ha verificado y que el acceso es potencialmente peligroso.
Para que los usuarios no reciban este mensaje debe instalar el certificado autofirmado por IIS en su
almacén local Entidad de certificación raíz de confianza.
La fecha de validez.
Un número de serie.
a. Plantillas de certificado
Las plantillas de certificado sirven para generar los certificados a partir de plantillas predefinidas
que pueden personalizarse previamente. Estas plantillas solo están disponibles en un servidor que
albergue el rol AD CS como entidad de certificación empresarial emisora.
Autenticación Kerberos.
EFS básico.
Controlador de dominio.
Servidor web.
Equipo.
Usuario.
Administrador.
También es posible crear o duplicar plantillas de certificado para completar la lista existente.
Para que un usuario tenga permisos para seleccionar una plantilla de certificado, se le deben
asignar permisos de inscripción en el certificado específico.
Para gestionar las plantillas de certificado, basta con hacer clic con el botón derecho en el
contenedor Plantillas de certificado de la consola Entidad de certificación y, a continuación,
hacer clic en Administrar.
DER binario codificado X.509 (.CER): los archivos X.509 utilizan una norma criptográfica
definida por la Unión internacional de telecomunicaciones. El formato de archivo DER
(Distinguished Encoding Rules) lo utilizan con frecuencia equipos informáticos que ejecutan
un sistema operativo diferente de Windows.
X.509 codificado base 64 (.CER): este tipo de formato se utiliza con frecuencia en las
infraestructuras de mensajería que soportan la norma de criptografía S/MIME
(Secure/Multipurpose Internet Mail Extension).
b. Solicitud de certificado
Existen varios métodos que permiten solicitar un certificado a una entidad de certificación. Se
puede efectuar una solicitud de certificado desde:
El complemento Certificados.
Para responder a estas necesidades, se le pide implementar una solución de infraestructura de clave
pública. Ésta tendrá como objetivo proteger los diferentes servicios y accesos mediante un certificado
emitido por una entidad de certificación. Debe instalarse empleando el rol de servidor AD CS y debe
diseñarse como una jerarquía de dos capas.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al
rolServicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar
características. A continuación, haga clic en Siguiente:
Paso 12: en el paso Especifique el tipo de CA, marque la opción CA raíz y, a continuación, haga
clic en Siguiente:
Paso 13: en el paso Clave privada, marque la opción Crear una clave privada nueva y, a
continuación, haga clic en Siguiente:
Paso 16: en el paso Período de validez, indique 10 Años para especificar la fecha de expiración
del certificado y, a continuación, haga clic en Siguiente.
Paso 17: en el paso Base de datos de CA, especifique la ubicación de la base de datos de
certificados en la carpeta D:\CA\CertDB y, a continuación, especifique la ubicación del registro de
la base de datos en la ubicación siguiente: D:\CA\CertLog. Haga clic en Siguiente.
Paso 18: en el paso Confirmación, verifique los parámetros de su entidad de certificación raíz y,
a continuación, haga clic en Configurar.
Paso 21: haga clic en la pestaña Extensiones y, a continuación, agregue un nuevo punto de
distribución de lista de revocación de certificados haciendo clic en Agregar.
Paso 22: en el campo Ubicación, escriba la URL siguiente y haga clic en Aceptar:
Paso 25: haga clic en la lista desplegable para seleccionar la extensión Acceso a la información
de entidad (AIA) y, a continuación, haga clic en Agregar.
Paso 26: en el campo Ubicación, escriba la URL siguiente y haga clic en Aceptar:
Paso 28: haga clic en Sí para volver a iniciar el servicio de certificados de Active Directory ahora.
Paso 29: de vuelta en la consola de gestión certsrv, despliegue el árbol para seleccionar la
carpeta Certificados revocados. Haga clic con el botón derecho sobre ella, seleccione Todas las
tareas y, a continuación, haga clic en Publicar:
Paso 30: en la ventana Publicar lista de revocación de certificados, haga clic en Aceptar para
crear una nueva lista.
Paso 31: en la consola certsrv, haga clic con el botón derecho en la entidad de
certificaciónInfonovice-Root-CA y, a continuación, haga clic en Propiedades.
Paso 33: en la ventana Certificado, haga clic en la pestaña Detalles y, a continuación, haga clic
en Copiar en archivo.
Paso 34: en el Asistente para exportar certificados, haga clic en Siguiente en la pantalla de
bienvenida.
Paso 35: deje las opciones por defecto y haga clic en Siguiente para exportar el certificado en
formato DER binario codificado X.509.
Paso 36: cree la carpeta C:\Compartir en el servidor CS-02 y compártala con permisos de lectura
y escritura para el grupo Todos. Haga clic en Examinar en el paso que permite exportar el
archivo e indique la siguiente ubicación \\CS-02\Compartir\Certificado-Root.cer y, a
continuación, haga clic en Guardar, Siguiente y Finalizar.
Paso 37: una vez exportado el certificado, haga clic en Aceptar para cerrar el conjunto de
ventanas.
Paso 38: navegue hasta la carpeta C:\Compartir en el servidor CS-02 para copiar aquí los dos
archivos presentes en la carpeta siguiente y, a continuación, comparta la carpeta CertEnroll:
C:\Windows\System32\Certsrv\CertEnroll
Paso 39: vaya al panel de control del servidor CS-02, haga clic en Ver el estado y las tareas de
red, y, a continuación, haga clic en Cambiar configuración de uso compartido avanzado.
Paso 40: en la sección Invitado o público, seleccione Activar el uso compartido de archivos e
impresoras y haga clic en Guardar cambios:
Paso 41: abra una sesión en el servidor DC-01 con privilegios de administración para el dominio
Infonovice.priv. Abra la consola de gestión DNS y cree el Host A siguiente en la zona de búsqueda
directa de Infonovice.priv:
Nombre: CS-01
Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y
características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 11: en el paso Credenciales, compruebe que se ha informado una cuenta de administrador
del dominio Infonovice.priv y, a continuación, haga clic en Siguiente.
Paso 12: en el paso Servicios de rol, marque las opciones asociadas a los roles Entidad de
certificación e Inscripción web de entidad de certificación. A continuación, haga clic
enSiguiente:
Paso 13: en el paso Tipo de instalación, marque la opción CA empresarial y haga clic
enSiguiente.
Paso 14: en el paso Tipo de CA, marque la opción CA subordinada y haga clic en Siguiente.
Paso 15: en el paso Clave privada, marque la opción Crear una clave privada nueva y, a
continuación, haga clic en Siguiente.
Paso 16: en el paso Criptografía para la CA, deje las opciones por defecto y haga clic
enSiguiente.
Paso 17: en el paso Nombre de CA, escriba Infonovice-Emisor-CA en el campo Nombre común
para esta entidad de certificación y, a continuación, haga clic en Siguiente:
Paso 18: en el paso Solicitud de certificado, marque la opción Guardar una solicitud de
certificado en un archivo del equipo de destino, identifique la ubicación de grabación del archivo
de solicitud de certificado y, a continuación, haga clic en Siguiente:
Paso 19: en el paso Base de datos de CA, especifique la ubicación de la base de datos de
certificados en la carpeta D:\CA\CertDB, informe a continuación la ubicación del registro de la base
de datos en la siguiente carpeta: E:\CA\CertLog. A continuación, haga clic en Siguiente:
Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv. Navegue hasta la carpeta \\CS-02\Compartir, haga clic con el botón derecho en el
archivo Certificado-Root.cer y haga clic en Instalar certificado y en Abrir.
Paso 2: en el Asistente para importar certificados, marque la opción Equipo local en la ventana
de bienvenida y, a continuación, haga clic en Siguiente.
Paso 3: en el paso Almacén de certificados, marque la opción Colocar todos los certificados en
el siguiente almacén y, a continuación, haga clic en Examinar.
Paso 5: haga clic en Siguiente y en Finalizar. Una vez realizada con éxito la importación del
certificado, haga clic en Aceptar.
Paso 8: inicie una sesión en el servidor CS-01 con credenciales de administración y abra, a
continuación, la consola de administración Entidad de certificación. Haga clic con el botón
derecho en la entidad de certificación Infonovice-Root-CA y seleccione Todas las tareas y, a
continuación, haga clic en Enviar solicitud nueva:
Paso 10: despliegue el árbol de la consola y seleccione la carpeta Solicitudes pendientes. Haga
clic con el botón derecho en la solicitud disponible, seleccione Todas las tareas y, a continuación,
haga clic en Emitir:
Paso 11: despliegue el árbol de la consola certsrv, seleccione la carpeta Certificados emitidos.
Haga clic con el botón derecho en el certificado disponible y haga clic en Abrir.
Paso 12: en la ventana Certificado, haga clic en la pestaña Detalles y, a continuación, haga clic
en Copiar en archivo.
Paso 13: en la ventana Asistente para exportar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 14: en el paso Formato de archivo de exportación, marque la opción Estándar de sintaxis
de cifrado de mensajes: certificados PKCS #7 (.P7B). Marque la opción Incluir todos los
certificados en la ruta de certificación (si es posible) y haga clic en Siguiente:
Paso 15: en el paso Archivo que se va a exportar, haga clic en Examinar. Navegue hasta la
carpeta compartida \\CS-02\Compartir y escriba CA-intermedio.p7b en el Nombre de archivo.
Haga clic en Guardar.
Siguiendo las mejores prácticas, la entidad de certificación raíz debe desconectarse de la red
después de su instalación. En condiciones reales, la operación de transferencia de un certificado
a otro equipo debe realizarse empleando un soporte extraíble.
Paso 16: haga clic en Siguiente y, a continuación, en Finalizar. Cuando la exportación del
certificado se haya realizado con éxito, haga clic en Aceptar dos veces.
Paso 17: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y abra la consola de administración Entidad de certificación. Haga clic con el
botón derecho en la entidad de certificación Infonovice-Emisor-CA, seleccione Todas las tareas y,
a continuación, haga clic en Instalar el certificado de CA:
Paso 18: navegue hasta la carpeta compartida \\CS-02\Compartir para seleccionar el archivo CA-
Intermedio.p7b. Haga clic en Abrir.
Paso 19: en la consola de administración certSrv en el servidor CS-02, haga clic con el botón
derecho en la entidad de certificación y, a continuación, haga clic en Todas las tareas e Iniciar
servicio.
El inicio del servicio de certificados puede realizarse, también, haciendo clic en el triángulo verde
de la barra de tareas.
Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y
enAdministración de directivas de grupo.
Paso 1: inicie una sesión en el servidor CS-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, en Administrador de Internet Information Services (IIS).
Paso 2: en la parte izquierda del árbol de la consola seleccione el nombre del servidor que
contiene la entidad de certificación empresarial emisora. En la parte central, haga doble clic
enCertificados de servidor.
Organización: INFONOVICE
País o región: ES
El campo Nombre común corresponde a la URL definitiva, es decir
http://certificados.infonovice.priv.
Paso 12: cambie a la consola de administración IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.
Paso 14: cambie a la consola de administración IIS, despliegue el árbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.
Tipo: https
Puerto: 443
Paso 17: despliegue el árbol de Default Web Site y seleccione la carpeta virtual certsrv. En la
parte central, haga doble clic en Configuración de SSL.
Paso 19: en el servidor DC-01, abra el Administrador del servidor, haga clic en Herramientas y,
a continuación, en DNS.
Paso 20: despliegue el árbol de la consola y, a continuación, cree un registro CNAME en la Zona
de búsqueda directa infonovice.priv. Indique la siguiente información y haga clic en Aceptar:
6. Solicitar un certificado
Este taller permite solicitar un certificado a la entidad de certificación emisora. El certificado a emitir
será de tipo Básico EFS, para el usuario Juan Dupont.
Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del
dominioInfonovice.priv. Arranque el Administrador del servidor, haga clic en Herramientas y, a
continuación, en Entidad de certificación.
Paso 3: en la lista de plantillas de certificados disponibles, haga clic con el botón derecho en EFS
básico y, a continuación, haga clic en Propiedades.
Paso 4: en la ventana Propiedades: EFS básico, haga clic en la pestaña Seguridad. Seleccione
el grupo Usuarios autentificados, marque el permiso Inscribirse como autorizado y, a
continuación, haga clic en Aceptar:
Paso 6: inicie una sesión en el equipo CLIENT1 con una cuenta de usuario del dominio
Infonovice.priv (conéctese con el usuario: jdupont; si esta cuenta de usuario no existe en su
dominio Active Directory, créela).
Paso 8: despliegue el árbol de la consola para seleccionar el contenedor Personal. Haga clic con
el botón derecho encima y seleccione Todas las tareas y haga clic en Solicitar un nuevo
certificado.
Paso 12: cuando la operación finalice con éxito, haga clic en Finalizar.
Las entidades de certificación permiten emitir y gestionar certificados a través del rol de
servidor AD CS.
Entidad de certificación
Respondedor en línea
1. Preguntas
1 ¿Cuál es el objetivo de una infraestructura de clave pública en una red empresarial?
8 Cite dos métodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificación comercial aprobada.
11 ¿Cuáles son los seis servicios de rol del rol del servidor AD CS?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 ¿Cuál es el objetivo de una infraestructura de clave pública en una red empresarial?
Una infraestructura de clave pública permite securizar el acceso, las comunicaciones o la integridad
de los datos en una red empresarial
En una jerarquía de entidad de certificación de tres capas, cada nivel debe ser instalado según el
tipo de CA siguiente:
8 Cite dos métodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificación comercial aprobada.
Para visualizar la lista de certificados emitidos por una entidad de certificación comercial aprobada,
podemos:
Una CRL (lista de revocación de certificados) permite visualizar los certificados digitales inválidos o
revocados. Esta lista se actualiza automáticamente desde una entidad de certificación.
Las AIA (Authority Information Access) permiten indicar a los usuarios la ubicación del certificado
de la entidad de certificación raíz.
11 ¿Cuáles son los seis servicios de rol del rol del servidor AD CS?
Entidad de certificación
Respondedor en línea
Inscripción de certificados
Directivas de certificados
Autenticación Kerberos
EFS básico
Controlador de dominio
Servidor Web
Equipo
Usuario
Administrador
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos básicos de la administración de Windows Server 2012 R2.
2. Objetivos
Comprender la gestión de derechos AD RMS.
1. Presentación de AD RMS
AD RMS es un rol de servidor que permite proteger la integridad de los datos generados en su
empresa. Este rol permite, en particular, preservar la propiedad intelectual así como el contenido de
datos hospedados o intercambiados con otros asociados. La protección de un servidor de archivos
con los permisos tradicionales NTFS pueden verse limitados en un proceso de gestión de derechos
digitales. AD RMS permite extender la seguridad de NTFS para proteger, por ejemplo, el contenido
de los archivos de Office. Cuando un usuario accede a un recurso compartido de red para abrir un
documento Word, el sistema verifica las ACL para verificar que el usuario está autorizado para leer o
modificar el contenido. Sin embargo, una vez que se abra el documento, la seguridad NTFS no puede
impedir que el contenido se conserve. De este modo, el usuario que abra el archivo también puede
imprimir los datos visualizados, o copiarlos para modificarlos más tarde. AD RMS permite responder a
esta necesidad de seguridad implementando una capa adicional a través de una nueva tecnología
que puede basarse en los componentes AD DS (Servicios de dominio de Active Directory), AD CS
(Servicios de certificados) y AD FS (Servicios de federación). Mediante la implementación del rol de
servidor AD RMS, es posible proteger el contenido de sus datos tanto en el interior de su red
empresarial como en el exterior. Este rol de servidor es, en cierta medida, una evolución del servicio
de administración de derechos de Microsoft (RM: Rights Management), disponible con el sistema
operativo Windows Server 2003 en la forma de un servicio Windows llamado RMS (Rights
Management Services).
a. Funcionamiento de AD RMS
Para proteger los datos confidenciales de su empresa, una infraestructura de gestión de derechos
Active Directory se basa en un conjunto de servidores AD RMS que gestionan el conjunto de reglas
de protección de los datos así como el intercambio de certificados y licencias de acceso al servicio.
La configuración de la infraestructura, así como los registros de actividad, se almacenan en una
base de datos. Los usuarios acceden al contenido protegido y cifrado mediante un cliente AD RMS
que se autentica automáticamente en un directorio Active Directory para garantizar que el usuario
está habilitado para utilizar el contenido protegido. El usuario obtiene, a continuación, un
certificado que le permite descifrar los datos protegidos. Los servicios de gestión de derechos se
basan a su vez en los servicios Web IIS. El conjunto de usuarios o grupos que deben tener acceso
a los servicios de administración de derechos Active Directory deben poseer una dirección de
correo electrónico configurada en su perfil Active Directory.
XPS Viewer
La instalación de una infraestructura de este tipo requiere la formación de los usuarios, ya que son
ellos los que deben definir los elementos a securizar indicando si el documento puede ser
sobreescrito, copiado, impreso, etc. Estos datos se almacenan directamente en el documento de
manera que puede intercambiarse fuera de la infraestructura de red empresarial. Solo los usuarios
autenticados o que dispongan de un certificado válido pueden acceder a los datos protegidos.
Cuando un usuario securiza un documento empleando los servicios de administración de derechos,
la infraestructura AD RMS genera una licencia de uso que se almacena dentro del documento. Si el
usuario forma parte de su organización, o de una entidad aprobada por los servicios de
federación, el cliente AD RMS instalado en la máquina cliente solicita automáticamente una licencia
de uso a la infraestructura AD RMS.
Para facilitar la gestión de los derechos cuando un usuario genera contenido, un administrador de
la infraestructura AD RMS puede a su vez desplegar plantillas de directivas de permisos. En función
del uso del contenido, un usuario podrá aplicar la plantilla de directiva directamente sin tener que
preocuparse de los elementos a configurar para proteger eficazmente su contenido.
La instalación de un servidor AD RMS crea un primer servidor en un clúster raíz. Este clúster no
necesita contar con las tecnologías de clustering de Microsoft o de equilibrio de carga de red. Un
clúster raíz AD RMS aporta simplemente una solución de alta disponibilidad para las peticiones de
los usuarios utilizando una tecnología propia de los servicios de gestión de derechos de Active
Directory. Si la infraestructura AD RMS va a trabajar con un solo servidor de gestión de derechos,
es posible utilizar una base de datos interna llamada WID (Windows Internal Database), que está
integrada en el sistema operativo. Esta instancia de base de datos solo permite la creación de un
único servidor en el clúster AD RMS raíz. Una infraestructura AD RMS soporta como mínimo la
utilización de una base de datos Microsoft SQL Server 2008.
La instalación del primer servidor del clúster raíz AD RMS necesita la creación de una clave de
cifrado. Esta clave debe asignarse a todos los servidores que se unan al clúster para que estos
puedan, a su vez, cifrar los certificados o las licencias a transmitir a los usuarios. Existen dos
métodos de almacenamiento de esta clave de cifrado:
b. Administración de AD RMS
El clúster AD RMS raíz es accesible a través de una URL que es preferible asociar a un alias DNS
declarado previamente en el servidor de nombres de su organización. El clúster AD RMS raíz utiliza
las carpetas virtuales siguientes en el árbol del sitio web predeterminado:
_wmcs
admin
certification
decommission
groupexpansion
licensing
Estas carpetas virtuales albergan los servicios web utilizados por la gestión del clúster AD RMS. La
consola de administración está configurada para apuntar a la URL del clúster AD RMS utilizando los
protocolos HTTP o HTTPS según la configuración del administrador de servicios de Internet (IIS). En
entornos de producción, es preferible securizar el acceso al clúster AD RMS implementando la
autenticación SSL, ofreciendo así una protección mediante la aprobación de un certificado.
Para verificar si el servicio Web administrador de roles AD RMS está operativo, basta con acceder a
la URL siguiente:
o bien
https://cluster-adrms.infonovice.priv/_wmcs/licensing
https://cluster-adrms.infonovice.priv/_wmcs/certification/certification.asmx
Si el clúster emplea una base de datos interna en lugar de una base de datos empresarial
comoMicrosoft SQL Server, el proceso de instalación instala la base de datos WID (Windows Internal
Database), que emplea los servicios Windows siguientes:
Directivas de confianza:
Dominios de usuario de confianza: permite conceder licencias de uso a los usuarios que
posean un certificado de cuenta de derechos emitido en un clúster AD RMS externo.
Plantillas de directiva de derechos: permite definir las reglas de protección del contenido
aplicadas a los documentos a proteger.
Directivas de exclusión:
Aplicaciones: permite bloquear las aplicaciones que no están aprobadas por el clúster AD
RMS. Para bloquear una aplicación, basta con indicar el nombre del ejecutable a excluir,
así como su versión. Por defecto, la directiva de exclusión Aplicaciones está deshabilitada.
Directivas de seguridad:
Informes:
Informes de estadísticas: permite obtener las estadísticas de los usuarios que han
recibido un certificado de cuenta de derechos desde el clúster AD RMS.
c. Componentes de AD RMS
Los servicios de gestión de derechos Active Directory presentan una infraestructura compleja. Se
basan en la instalación y gestión de los siguientes componentes:
Un servidor SQL.
¿Deben protegerse los datos solamente para un uso interno o también para su uso
externo?
Todas estas preguntas son esenciales para definir la arquitectura final de su infraestructura AD
RMS. Por ejemplo, la opción de utilizar una base de datos interna o distinta de Microsoft SQL
Server tendrá un impacto en la implementación de los clústeres de servidores AD RMS. Solo una
base de datos Microsoft SQL Server puede recibir varias conexiones, de ahí la posibilidad de crear
un clúster de servidores AD RMS. El uso de una base de datos interna solo permite aceptar una
conexión, de ahí la instalación de un único servidor AD RMS en la infraestructura. Esto puede
interesar para un entorno de prueba o maqueta, pero no convendrá para un entorno de
producción.
La base de datos centralizada del clúster AD RMS debe instalarse, como mínimo, en una
versión de Microsoft SQL Server 2008 (si la infraestructura cuenta con un solo servidor AD
RMS, es posible utilizar la base de datos interna de Microsoft).
Los equipos cliente deben utilizar, todos ellos, un cliente AD RMS válido. Por defecto, los
sistemas operativos cliente como Microsoft Windows Vista, Windows 7 o Windows 8
integran un cliente AD RMS. Del lado de los servidores los sistemas operativos como
Microsoft Windows Server 2008, 2008 R2, 2012 y 2012 R2 integran un cliente AD RMS.
En cuanto a los requisitos técnicos, los servidores que compongan el clúster AD RMS deben
responder a las siguientes características mínimas:
Por defecto, el asistente de creación de una plantilla de directiva de permisos ofrece la posibilidad
de autorizar o restringir los permisos siguientes:
Control total
Ver
Editar
Guardar
Imprimir
Reenviar
Responder
Responder a todos
Extraer
Permitir macros
Ver derechos
Editar derechos
El proceso de protección de un documento es el siguiente:
Una vez introducidas las credenciales, la aplicación interroga al clúster empleando la URL
configurada para saber si el usuario está autorizado y si puede recuperar una licencia de
uso.
El usuario aprobado obtiene una licencia de uso que le permite descifrar el contenido
protegido.
Trabajos prácticos
La empresa INFONOVICE desea securizar el acceso a sus datos almacenados en el servidor de
archivos. Después de la compra de la empresa OXYFILM, se le pide implementar la tecnología AD RMS
para securizar el contenido de los datos compartidos entre los dominios INFONOVICE.priv y
OXYFILM.local. El conjunto de los documentos generados por los usuarios del departamento de RRHH
deben securizarse para que usuarios del departamento de marketing puedan tener acceso solo de
lectura, con restricciones para copiar o imprimir el contenido.
Para responder a esta necesidad, se le pide implementar la tecnología AD RMS para que los dos
bosques puedan intercambiar los datos, cuyo contenido debe estar protegido para limitar la copia o
impresión.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv, en el Administrador del servidor, haga clic en Herramientas y, a continuación,
en DNS.
Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores
condicionales y, a continuación, haga clic en Nuevo reenviador condicional.
Paso 4: inicie una sesión en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local a continuación, en el Administrador del servidor, haga clic
en Herramientas y enDNS.
Paso 5: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores
condicionales y, a continuación, haga clic en Nuevo reenviador condicional.
INFONOVICE\Usuarios
INFONOVICE\RRHH
INFONOVICE\Grupos
INFONOVICE\Cuentas de servicio
Apellidos: Dupont
Contraseña: P@ssw0rd
E-mail: jdupont@infonovice.priv
Apellidos: Lablanca
Contraseña: P@ssw0rd
E-mail: mlablanca@infonovice.priv
Apellidos: svc-adrms
Contraseña: P@ssw0rd
Paso 12: cree los siguientes grupos de seguridad en la UO INFONOVICE\Grupos, con las
características siguientes:
Ámbito: Global
E-mail: RRHH@infonovice.priv
Ámbito: Global
E-mail: marketing@infonovice.priv
Ámbito: Global
E-mail: superusers@infonovice.priv
Paso 13: en DC-01, abra el Administrador del servidor, haga clic en Herramientas y, a
continuación, en DNS.
Paso 17: en la lista de plantillas de certificado disponibles, seleccione el certificado Servidor Web,
haga clic con el botón derecho encima y haga clic en Plantilla duplicada.
Paso 18: en la ventana Propiedades de plantilla nueva, seleccione Windows Server 2012 en
el campo Entidad de certificación de la sección Compatibilidad y haga clic en Aceptar para
validar la selección. A continuación, seleccione Windows 8 / Windows Server 2012 en el
campoDestinatario del certificado y haga clic en Aceptar para validar la selección.
Paso 19: haga clic en la pestaña General de la ventana Propiedades de plantilla nueva y
escriba Servidor Web ADRMS en el campo Nombre para mostrar de la plantilla. A continuación,
marque la opción Publicar certificado en Active Directory.
Paso 20: haga clic en la pestaña Seguridad de la ventana Propiedades de plantilla nueva y
haga clic en Agregar para seleccionar la cuenta de equipo FILES-01. Marque los
permisos Leer yInscribirse, a continuación haga clic en Aceptar para cerrar las propiedades de
la nueva plantilla de certificado y cierre la consola de plantillas de certificado.
Paso 21: en la consola Entidad de certificación, haga clic con el botón derecho en Plantillas de
certificado, haga clic en Nuevo y, a continuación, en Plantilla de certificado que se va a emitir.
Seleccione la plantilla de certificado llamada Servidor Web ADRMS y, a continuación, haga clic
enAceptar:
2. Instalar AD RMS
Este taller permite instalar el rol de servidor AD RMS en el servidor de archivos FILES-01. Este primer
servidor constituye el clúster AD RMS.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y
características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 5: en el paso Active Directory Rights Management Services, haga clic en Siguiente.
Paso 6: en el paso Seleccionar servicios de rol, marque la opción Servidor de Active Directory
Rights Management Services y, a continuación, haga clic en Siguiente:
Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en la bandera con la
notificación amarilla. A continuación, haga clic en Realice tareas de configuración adicionales.
Paso 3: en el paso Clúster de AD RMS, la opción Crear un nuevo clúster raíz de AD RMS está
previamente seleccionada porque se trata de la configuración del primer servidor de la
infraestructura. Haga clic en Siguiente.
Paso 4: en el paso Base de datos de configuración, marque la opción Usar Windows Internal
Database en este servidor y haga clic en Siguiente.
Paso 5: en el paso Cuenta de servicio, haga clic en Especificar para indicar la cuenta de
servicioINFONOVICE\svc-adrms. A continuación, haga clic en Siguiente:
Paso 6: en el paso Modo criptográfico, marque la opción Modo criptográfico 2 (esto permite
mejorar la seguridad) y, a continuación, haga clic en Siguiente.
Paso 8: en el paso Contraseña de la clave del clúster, escriba P@ssw0rd en el campo dedicado
a las contraseñas y, a continuación, haga clic en Siguiente.
Paso 9: en el paso Sitio web del clúster, seleccione el rol Default Web Site y haga clic
enSiguiente.
Paso 10: en el paso Dirección de clúster, marque la opción Usar una conexión cifrada con
SSLen la sección Tipo de conexión y, a continuación, escriba CLUSTER-ADRMS.infonovice.priv en el
campo https:// de la sección Nombre de dominio completo. A continuación, haga clic
enSiguiente:
Paso 11: en el paso Certificado de servidor, marque la opción Elegir un certificado existente
para cifrado SSL y, a continuación, haga clic en Siguiente.
Paso 13: en el paso Registro de SCP, marque la opción Registrar el SCP ahora y, a
continuación, haga clic en Siguiente.
Paso 15: en el paso Resultado, compruebe que se han configurado los servicios AD RMS y, a
continuación, haga clic en Cerrar.
Paso 16: abra el Administrador del servidor del servidor FILES-01, haga clic
en Herramientasy, a continuación, en Administrador de Internet Information Services (IIS).
Paso 17: en la parte izquierda del árbol de la consola, seleccione el nombre del servidor. En la
parte central, haga doble clic en Certificados de servidor.
Paso 18: en la parte derecha, haga clic en Crear una solicitud de certificado.
Organización: INFONOVICE
País o región: ES
El campo Nombre común corresponde a la URL definitiva, es decir http://CLUSTER-
ADRMS.infonovice.priv.
Paso 22: abra el navegador Internet Explorer, escriba la URL siguiente: http://CS-02/certsrv, y
haga clic en Solicitar un certificado.
Paso 24: haga clic en Enviar una solicitud de certificado con un archivo.
Paso 27: cambie a la consola de administración IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.
Paso 29: cambie a la consola de administración IIS, despliegue el árbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.
Paso 30: en la ventana Enlaces, haga doble clic en el tipo de vínculo https.
Tipo: https
Puerto: 443
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Paso 2: en el árbol de la consola, haga clic con el botón derecho en el nombre del clúster servidor
local y, a continuación, haga clic en Eliminar.
Paso 4: haga clic con el botón derecho en el nodo raíz de la consola y haga clic en Agregar
clúster.
Paso 5: en la ventana Agregar clúster, seleccione HTTPS con número de puerto 443 en la
sección Protocolo de conexión. Marque la opción Equipo remoto y escriba cluster-
adrms.infonovice.priv en la sección Conectar a. Marque la opción Conectar como e introduzca las
credenciales de conexión de una cuenta de administrador del dominio Infonovice.priv, a
continuación, haga clic en Finalizar.
Paso 6: la consola de administración AD RMS permite, en lo sucesivo, administrar el clúster a
través de servicios web:
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Paso 2: despliegue el árbol de la consola y seleccione Superusuarios en el nodo Directivas de
seguridad.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Nombre: Lectura
Paso 7: en el paso Agregar derechos de usuario, haga clic en Agregar en la sección Usuarios y
derechos para especificar el grupo de seguridad global GG_MARKETING_Users (E-mail:
marketing@infonovice.priv) y, a continuación, haga clic en Aceptar:
Paso 12: en la consola de administración de Consola de servicios AD RMS, haga clic en Cambiar
la ubicación del archivo de plantillas de directiva de derechos distribuidas:
Paso 14: la plantilla de directiva de derechos distribuidos creada previamente aparece, ahora, en
la carpeta E:\Plantillas del servidor FILES-01:
7. Crear una directiva de exclusión
Este taller permite crear una directiva de exclusión de aplicación para prohibir que se pueda consultar
el contenido protegido por AD RMS mediante versiones de Word obsoletas. Solo las versiones de
Word Office 2010 y 365 estarán aceptadas.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y a continuación, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
8. Proteger el contenido
Este taller permite crear un documento Word desde el pack Office 2010 y protegerlo antes de enviarlo
a otros usuarios. Una vez securizado el documento, se debe realizar una prueba para confirmar que
los usuarios del departamento de Marketing solo tienen derechos de lectura en el documento.
Paso 1: inicie una sesión en el equipo CLIENT1 con la cuenta de usuario Juan Dupont (nombre
de usuario: jdupont, contraseña: P@ssw0rd).
Paso 4: haga clic en la pestaña Archivo del documento Word y, a continuación, vaya a la
secciónInformación. En la sección Permisos haga clic en Proteger documento, seleccione a
continuaciónRestringir permisos por personas y haga clic en Administrar credenciales:
Paso 5: en primer lugar, la aplicación Microsoft Word contacta con los servicios de dominio de
Active Directory para recuperar la URL del clúster AD RMS:
Paso 11: inicie una sesión en el equipo CLIENT1 con la cuenta de usuario Marcos
Lablanca(nombre de usuario: mlablanca, contraseña: P@ssw0rd).
Paso 15: una vez abierto el documento, intente modificar el contenido. Haga clic con el botón
derecho en la página para verificar que el conjunto de las opciones de modificación o de copia
están sombreadas:
Paso 16: haga clic en Archivo para confirmar que las opciones Guardar, Guardar
como eImprimir están deshabilitadas:
Paso 17: haga clic en Proteger documento y, a continuación, en Ver permisos para confirmar
que solo están habilitadas las opciones de lectura mediante un programa:
Paso 18: transfiera el archivo Confidencial.docx al equipo CLIENT3 del dominio Oxyfilm.local, y abra
el documento después de iniciar sesión con una cuenta de administrador del dominio
Oxyfilm.local.
Paso 19: acepte el certificado presentado por la URL del clúster AD RMS y, a continuación, haga
clic en Sí para aceptar la verificación de las credenciales. El contenido no estará accesible porque
las credenciales de la cuenta de usuario proporcionada no forman parte de un dominio aprobado
por el clúster AD RMS del dominio Infonovice.priv. Haga clic en No para no utilizar otro juego de
credenciales:
Para que los usuarios de otro dominio puedan acceder al contenido protegido por AD RMS, hay
que crear una directiva de confianza para aprobar al dominio que alberga a los usuarios.
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de gestión de
derechos de Active Directory con la implementación del rol de servidor AD RMS en Microsoft Windows
Server 2012 R2. Podría resumirse de la manera siguiente:
AD RMS constituye un medio excelente para proteger el contenido de los datos generados en
una organización implementando una tecnología de gestión de derechos digitales como lo haría
un DRM para el contenido musical.
AD RMS es una extensión de los permisos NTFS y permite proteger la integridad de los datos.
Su implementación permite prohibir, a aquellos usuarios con acceso al contenido, que lo copien,
impriman o incluso que lo transfieran.
AD RMS protege los documentos mediante un cifrado basado en un certificado y una licencia de
uso. Cualquier persona que desee leer un documento protegido por la infraestructura de
gestión de derechos de Active Directory debe contar con un cliente AD RMS actualizado, un
certificado de cuenta de derechos así como una licencia de uso.
Una infraestructura AD RMS debe configurarse para que las propias aplicaciones permitan
proteger el contenido.
Los equipos cliente que ejecuten Windows XP deben contar con al menos el Service Pack 2
para disponer del cliente AD RMS.
Por defecto, los servicios web de AD RMS escuchan en el puerto 80 de los servicios IIS. En un
entorno de producción, es preferible implementar un acceso SSL HTTPS utilizando el puerto
443.
Una infraestructura AD RMS es compleja y está basada en varias tecnologías como: AD DS, AD
FS, AD CS.
Para extender las características de los servicios AD RMS hacia el exterior de la organización,
hay que crear una URL de clúster Extranet.
Para aprobar otras infraestructuras AD RMS, hay que crear una directiva de confianza y, a
continuación, intercambiar los certificados de licencia de los servidores.
Validación de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 ¿Para qué sirve la clave de cifrado del clúster AD RMS?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /6
3. Respuestas
1 ¿Para qué sirve la clave de cifrado del clúster AD RMS?
La clave de cifrado del clúster AD RMS se genera durante la instalación del primer servidor del
clúster raíz. Cada servidor que necesite unirse al clúster raíz debe presentar esta clave de cifrado.
Cuando un usuario protege el contenido de uno de sus archivos, el clúster asigna al documento
una licencia de publicación que define los permisos del documento.
Cuando un usuario autorizado intenta acceder al contenido protegido, el clúster proporciona una
licencia de uso que permite abrir el archivo.
Un clúster raíz de AD RMS representa un conjunto de servidores que ejecutan el rol de servidor AD
RMS. Los servidores pueden unirse mediante una URL de clúster para responder a las peticiones de
licencias de uso y gestión de certificados.
Los integrantes del grupo superusuarios reciben el conjunto de licencias propietarias para poder
descifrar todo tipo de contenido protegido por la infraestructura AD RMS.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos básicos de la administración de Windows Server 2012 R2.
2. Objetivos
Comprender la utilidad de los servicios de federación de Active Directory.
Para aportar a los administradores una mayor flexibilidad para la gestión de las relaciones de
confianza entre asociados u otros servicios en línea, Microsoft ha implementado en su sistema
operativo Windows Server 2012 R2 los servicios de federación de Active Directory. La tecnología
existe desde Windows Server 2003 R2 pero, a partir de Windows Server 2008, los servicios de
federación de Active Directory se presentan como un rol de servidor llamado AD FS (Active Directory
Federation Services).
1. Presentación de AD FS
Active Directory Federation Services es un rol de servidor que permite extender la gestión de la
autenticación al exterior de su red empresarial. La implementación de esta tecnología no requiere la
apertura de los diferentes canales de red empleados por el tráfico de los servicios de dominio de
Active Directory, sino que simplemente se conforma con el uso de comunicaciones cifradas a través
del protocolo HTTPS (puerto generalmente abierto previamente en el firewall de una infraestructura
que ya publica servicios web o de mensajería Webmail). Los servicios de federación proporcionados
por el rol de servidor AD FS permite obtener una única autenticación (SSO: Single Sign On) en las
aplicaciones de tipo Web (Web SSO). No es necesario trabajar con varias organizaciones para
implementar AD FS. También podemos utilizar AD FS dentro de una misma organización, o entre dos
bosques que posean relaciones de confianza entre sí. AD FS en Windows Server 2012 R2 se basa
en la versión AD FS 3.0 y Microsoft ha agregado comandos de gestión PowerShell adicionales así
como una integración con el control de acceso dinámico.
a. Funcionamiento de AD FS
AD FS permite autorizar a los usuarios de sus asociados a acceder a sus recursos. Cuando un
usuario intenta acceder a uno de sus recursos contenido dentro del perímetro de publicación, los
servicios de federación efectúan un proceso de validación automático utilizando la información de
conexión introducida y la información de autenticación del usuario que previamente ha abierto una
sesión en su dominio de origen (análisis del token de acceso Windows). De esta forma, la
infraestructura AD FS comunica con los servicios de dominio AD DS internos o los de sus asociados.
Esto permite asegurar que las credenciales proporcionadas son válidas antes de presentar y
autorizar el acceso al recurso solicitado. Si uno de sus asociados no cuenta con el directorio AD DS,
los servicios de federación pueden, también, trabajar de manera conjunta con el rol de servidor AD
LDS (Active Directory Lightweight Directory Services), que es el equivalente a un servicio de
directorio más ligero que los servicios de directorio de AD DS. Mediante este proceso de
autenticación, los usuarios de cada organización federada solo tienen la necesidad de autenticarse
durante el inicio de sesión de su equipo cliente para utilizar a continuación una aplicación web sin
tener que identificarse de nuevo (sin necesidad de introducir el nombre de usuario y la
contraseña).
Servicios AD RMS
Servicios Citrix
Para trabajar con otras organizaciones que utilicen a su vez servicios de federación y servicios de
dominio Active Directory, los administradores a cargo de la implementación de AD FS deben crear
relaciones de confianza federadas.
No hay que confundir las relaciones de confianza (que hacen referencia a la relación de
confianza tradicional entre los bosques de Active Directory) con las relaciones de confianza de
federación (que hacen referencia a una relación de confianza federada entre dos bosques de
Active Directory).
Dado que la autenticación de los usuarios está basada, en parte, en los token de acceso
Windows, la sincronización horaria de los equipos de la infraestructura juega un rol importante. El
emulador PDC de cada controlador de dominio tiene la función de sincronizar la hora de los
equipos correspondientes. Sin embargo, si trabajamos con diferentes organizaciones que
gestionan sus propios directorios AD DS, no es sencillo gestionar estos datos horarios. Por este
motivo, Microsoft recomienda a todas las organizaciones basar su sincronización horaria en
servidores externos, utilizando el protocolo NTP (Network Time Protocol).
Cuando un usuario se autentica en una aplicación compatible con AD FS, el navegador web crea
una cookie local, permitiendo asi al usuario autenticarse en SSO más rápidamente.
b. Administración de AD FS
El asistente de instalación del rol de servidor AD FS instala a su vez el servicio Active Directory
Federation Services:
Este servicio se encuentra detenido por defecto. Primero hay que configurar los servicios de
federación empleando el asistente de la consola de administración AD FS para poder arrancar el
servicio.
Al añadir el rol de servidor AD FS se instalan también los servicios Web (IIS) con la
característicaAutenticación de asignaciones de certificado de cliente.
El asistente de instalación ofrece dos tipos de instalación de los servicios de federación. Es posible
realizar los siguientes tipos de instalación:
Instalación en una granja de servidores: esta opción permite dotar de alta disponibilidad a
los servicios de federación, además de un sistema de equilibrio de carga de los servidores
AD FS.
Servicio:
Extremos
Certificados
Descripciones de notificaciones
Relaciones de confianza:
Almacenes de atributos
2. Notificaciones
Las notificaciones contienen información específica acerca de un usuario o un equipo que se
autentica en una aplicación compatible con AD FS.
Cuando un usuario realiza una solicitud de acceso a una aplicación Web, el directorio AD DS que
efectúa la autenticación puede proporcionar las notificaciones solicitadas a un servidor de federación
que transmite, a su vez, los datos a la aplicación.
Notificaciones de usuarios: este tipo de notificación es relativo a los atributos del usuario
que puede presentarse a un servidor de federación. El atributo UPN (User Principal Name)
representa el atributo con mayor prioridad. Las direcciones de correo electrónico se utiliza,
también como parámetros de notificación de usuario.
3. Infraestructura AD FS
Una infraestructura AD FS puede complicarse muy rápidamente en función del número de asociados
que requieran acceso a los recursos de la organización. Por este motivo, resulta muy importante
conocer bien los diferentes componentes de una infraestructura AD DS.
a. Infraestructura
Una infraestructura AD FS entre dos asociados que permita un acceso a las aplicaciones Web
externas se presenta según el esquema siguiente:
El proceso de autenticación SSO en un servidor Web que hospeda aplicaciones compatibles con AD
FS es el siguiente:
10. El navegador web crea una cookie local para que el usuario pueda volver a
conectarse al sitio Web con SSO.
b. Componentes
Servidores de federación: los servidores de federación poseen el rol del servidor AD FS.
Encontramos generalmente un servidor de federación en el dominio que alberga los
recursos y otro en el dominio que alberga las cuentas de usuario.
Los clientes: los clientes son los usuarios que desean acceder a las aplicaciones habilitadas
para AD FS a través de su equipo cliente. Una vez autenticados en el dominio AD DS de su
organización, pueden acceder a las aplicaciones Web externas a su organización y
habilitadas para AD FS sin tener que volver a introducir sus credenciales de conexión.
Las notificaciones: las notificaciones pueden ser de varios tipos. Pueden ser notificaciones
de identidad, de proveedor, de grupo, etc. Las notificaciones contienen por ejemplo, el
conjunto de datos vinculados al objeto de usuario o equipo.
Las veracidades de usuarios de confianza: son los servidores de federación que reciben
los tokens de seguridad (tokens) de los usuarios externos a partir de un proveedor de
notificaciones aprobado. El servidor de federación acepta las notificaciones proporcionadas
y genera nuevos tokens de seguridad que puede utilizar el servidor Web para autorizar a
los usuarios remotos.
4. Instalar y configurar AD FS
La instalación de los servicios de federación Active Directory requiere el conocimiento de las
siguientes recomendaciones y requisitos previos:
AD DS
AD LDS
ADAM
Proveedor de notificación
Usuario de confianza
Para responder a esta necesidad, se le pide implementar la tecnología AD FS para extender las
funcionalidades de los componentes AD RMS internos y obtener un acceso Web SSO para los servicios
Web de la empresa.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
1. Preparar el despliegue AD FS
Este taller permite preparar la instalación del rol de servidor AD FS.
Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv en el Administrador del servidor, haga clic en Herramientas y, a continuación,
enDNS.
Paso 2: despliegue el árbol de la consola , haga clic con el botón derecho en Reenviadores
condicionales y, a continuación, haga clic en Nuevo reenviador condicional.
Paso 4: inicie una sesión en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local y, a continuación, en el Administrador del servidor, haga clic
en Herramientas y enDNS.
Paso 5: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores
condicionales y, a continuación, haga clic en Nuevo reenviador condicional.
Paso 7: verifique la sincronización horaria de los dos controladores de dominio y los equipos
integrantes del dominio. El conjunto de los equipos de la infraestructura debe estar
perfectamente sincronizado.
Paso 8: acceda al servidor FILES-01 y, desde el Administrador del servidor, haga clic
enHerramientas y, a continuación, en Administrador de Internet Information Services (IIS).
Organización: INFONOVICE
Unidad organizativa: AD FS
País o región: ES
Paso 12: en el paso Entidad de certificación en línea, haga clic en Seleccionar para indicar la
entidad de certificación Infonovice-Root-CA (hospedada en el servidor CS-03, que debe instalarse
y configurarse según los requisitos previos del taller). Escriba FILES-01.infonovice.priv en el
campoNombre descriptivo y haga clic en Finalizar:
Paso 13: en la consola Administrador de Internet Information Services (IIS), despliegue el
árbol de la consola para seleccionar el sitio Default Web Site. En la parte derecha, haga clic
enEnlaces.
Paso 15: en la ventana Agregar enlace de sitio, introduzca la información siguiente y haga clic
en Aceptar:
Tipo: https
Puerto: 443
Paso 21: haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a
continuación, haga clic en Importar.
Paso 22: en la ventana Asistente para importar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 23: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
05.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.
Paso 25: en el paso Finalización del Asistente para importar certificados, haga clic
enFinalizar.
Paso 30: haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a
continuación, haga clic en Importar.
Paso 31: en la ventana Asistente para importar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 32: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
03.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.
Paso 34: en el paso Finalización del Asistente para importar certificados, haga clic
enFinalizar.
Paso 35: acceda al servidor FILES-01, descargue e instale el archivo Windows Identity
Foundation SDK - Español (WindowsIdentityFoundation-SDK-3.5.msi).
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar
roles y características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 5: en el paso Servicios de federación de Active Directory (AD FS), haga clic enSiguiente.
Paso 9: en el centro de la consola AD FS, haga clic en el vínculo Asistente para configurar el
servidor de federación de AD FS:
Paso 11: en el paso Seleccionar tipo de implementación, marque la opción Servidor de Entidad
de certificación y, a continuación, haga clic en Siguiente.
Paso 12: en el paso Nombre del servicio de federación, verifique que el certificado SSL
seleccionado es FILES-01.infonovice.priv y haga clic en Siguiente.
Paso 15: inicie una sesión en el equipo CLIENT1 con las credenciales del usuario Juan
Dupont (nombre de usuario: jdupont y contraseña: P@ssw0rd). Abra Internet Explorer y valide la
instalación accediendo a la siguiente URL: https://FILES-
01.infonovice.priv/federationmetadata/2007-06/federationmetadata.xml
Paso 16: repita las operaciones 1 a 14 en el servidor FS-02 del dominio Oxyfilm.local.
Paso 1: inicie una sesión en el servidor FILES-01 con credenciales de administración del
dominioInfonovice.priv y, a continuación, abra un símbolo de sistema PowerShell.
Paso 4: despliegue el árbol de la consola, haga clic con el botón derecho en ADFS \ Servicio \
Certificados, y haga clic en Agregar certificado de firma de token.
Paso 6: en la ventana AD FS, haga clic en Sí y, a continuación, en Aceptar para ignorar los
mensajes de información.
Paso 7: en la sección Firma de token, haga clic con el botón derecho en el certificado con el
nombre de objeto CN=FILES-01.infonovice.priv y, a continuación, haga clic en Establecer como
principal.
Paso 8: en la ventana AD FS, haga clic en Sí para ignorar el mensaje informativo.
Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, arranque el Administrador del servidor. Haga clic
enHerramientas y, a continuación, en Administración de AD FS.
Paso 3: en la ventana Editar reglas de notificación para Active Directory, haga clic en Agregar
regla.
Paso 5: en el paso Configurar regla, introduzca los elementos siguientes, haga clic
en Finalizary, a continuación, en Aceptar:
User-Principal-Name: UPN
Display-Name: Nombre
Paso 1: inicie una sesión en el servidor FS-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar
roles y características.
Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 6: en el paso Seleccionar servicios de rol, marque la opción Proxy FSP y, a continuación,
haga clic en Siguiente.
Paso 7: deje las demás opciones por defecto haciendo clic en Siguiente y, por último, haga clic
en Instalar.
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de Federación de
Active Directory con la implementación del rol de servidor AD FS en Microsoft Windows Server 2012 R2.
Podría resumirse de la manera siguiente:
El almacén de atributos debe especificarse al implementar el primer servidor AD FS para que los
demás servidores lo utilicen.
Antes de ser accesibles para los usuarios, las aplicaciones deben primero estar habilitadas
para funcionar con AD FS. Un administrador debe crear las notificaciones adecuadas que deben
presentarse a la aplicación.
AD FS permite realizar una autenticación SSO para las aplicaciones de tipo Web.
Validación de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 ¿Sobre qué versión de AD FS están basados los servicios de federación de Active Directory?
2 ¿Qué puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /4
3. Respuestas
1 ¿Sobre qué versión de AD FS están basados los servicios de federación de Active Directory?
2 ¿Qué puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?
Los servicios de federación Active Directory solo necesitan el puerto 443 para intercambiar
información mediante el protocolo HTTPS.
Si el rol de servidor AD FS está instalado como servidor independiente, no es posible agregar otros
servidores. El administrador deberá desinstalar el rol de servidor para volver a instalarlo en modo
granja de servidores.
1. Requisitos previos
Instalar y configurar la dirección IP de un equipo cliente.
2. Objetivos
Comprender la noción de reparto de carga.
En comparación, imagine una sala de cine con varias películas y una sola taquilla abierta. Si varios
clientes acuden a la vez, el taquillero se verá rápidamente desbordado y los clientes estarán
descontentos por la espera para acceder al contenido deseado. En este momento el cine abrirá una
o más taquillas para repartir la carga de trabajo entre varios empleados reduciendo así el tiempo de
espera de los clientes. En este caso concreto, la alta disponibilidad se garantiza mediante la difusión
de una misma película en dos salas diferentes.
Extrapolemos este ejemplo llevándolo a una infraestructura informática. Una empresa (el cine, en
nuestro ejemplo) que posea un único servidor web (la película, en nuestro ejemplo) y que no utilice
ninguna técnica de reparto de carga se verá rápidamente saturado por un pico de utilización del
servicio por varios usuarios. La implementación de una técnica de reparto de carga consistirá en
agregar uno o varios servidores ofreciendo un contenido idéntico para que los usuarios puedan
acceder a través de un punto de acceso único (la taquilla de cine, en nuestro ejemplo). El equilibrio
de carga permite de esta forma incrementar la seguridad de un sistema de información ofreciendo
redundancia a los servidores y un acceso viable incluso en caso de fallo de uno de los servidores.
A una agrupación de servidores se le denomina una granja, pero en una solución de reparto de
carga hablaremos en concreto de un clúster. Cada servidor integrado en un clúster se representa
como un nodo del clúster. Las peticiones de los usuarios se distribuyen, de esta manera, entre los
nodos que componen el clúster.
Antes de implementar una solución de reparto de carga, debemos conocer que existen varias
tecnologías software o hardware.
a. Tecnologías existentes
Para implementar una solución de equilibrio de carga dentro de una infraestructura informática,
debemos plantearnos la pregunta de qué tecnología utilizar. Las soluciones hardware presentan
muchas más opciones de configuración y administración que las soluciones software aunque son,
sin embargo, mucho más costosas. Las soluciones software son en su mayoría fáciles de
implementar y ofrecen una excelente solución de alta disponibilidad a menor coste. Cada una de
las tecnologías disponibles estará más o menos adaptada a un servicio de su infraestructura.
Las soluciones hardware consisten en cabinas de red que registran las solicitudes
entrantes de los clientes que llegan a una dirección IP virtual para distribuirla a un host
disponible en un clúster. Hoy en día, varios fabricantes ofrecen soluciones de reparto de
carga por hardware (por ejemplo, las cabinas ALOHA de Exceliance, NetScaler de
CITRIX,ACE de CISCO, etc.).
El reparto de carga de red o NLB (Network Load Balancing): esta solución es una
funcionalidad integrada en Windows, fácil de implementar y de administrar. El principio de
funcionamiento consiste en repartir las peticiones entrantes a través del
protocoloTCP/IP (Transmission Control Protocol/Internet Protocol) entre los servidores
disponibles de un clúster.
El DNS Round-Robin (operación por turnos): esta solución de equilibrio de carga consiste
en registrar varias direcciones IP para un mismo nombre de dominio. Mediante un
mecanismo llamado de operación por turnos, el servidor DNS atribuirá una dirección IP por
reparto (mediante aquellas presentes en la configuración del nombre de dominio
especifico) a los clientes que realicen una solicitud de resolución de ese nombre de
dominio.
b. Ventajas e inconvenientes
Las ventajas:
Atacando una dirección IP virtual llamada VIP, los servidores que componen el clúster
están protegidos porque el usuario no conoce directamente la dirección IP de los
servidores que componen el clúster
Alta disponibilidad
Los inconvenientes:
Soluciones costosas
Las ventajas:
Fácil de implementar
Integrado en Windows
Gratuito
Atacando una dirección IP virtual llamada VIP, los servidores que componen el clúster
están protegidos porque el usuario no conoce directamente la dirección IP de los
servidores que componen el clúster.
Alta disponibilidad
Los inconvenientes:
DNS Round-Robin:
Las ventajas:
Fácil de implementar
Integrado en Windows
Gratuito
Los inconvenientes:
Esta solución no permite conocer el estado de un servidor. Los usuarios pueden verse
dirigidos a un servidor fuera de servicio.
El software de terceros:
Las ventajas:
Alta disponibilidad
Los inconvenientes:
a. Prioritario
Este modo de equilibro de carga permite redirigir todas las peticiones entrantes a un servidor por
defecto. Dicho de otra forma, todas las peticiones de usuario se envían al servidor que tenga la
mayor prioridad del clúster. Cuando el servidor prioritario no se encuentra disponible, o no
responde, las peticiones entrantes se envían directamente al servidor que tiene una prioridad
menor. Este modo de reparto de carga no está adaptado a escenarios muy escalables porque solo
se utiliza un servidor. Para definir un nodo prioritario, basta con indicar el valor 1 en sus
parámetros de prioridad. Este número corresponde a la máxima prioridad. El segundo servidor
tendrá entonces el valor 2. Existen solo 32 niveles de prioridad porque el clúster de equilibrio de
carga solo puede gestionar 32 hosts como máximo.
Para definir este tipo de reparto de carga, basta con seleccionar la opción Un único host en las
propiedades de una regla de puerto del clúster:
b. Modo igual
Este modo de equilibrio de carga permite repartir el tráfico entrante de la misma forma en el
conjunto de los hosts disponibles en el clúster. De esta forma, cada nodo del clúster trata una
carga idéntica y puede responder eficazmente a un incremento de la carga. Cuando un host del
clúster presenta un fallo de disponibilidad, el reparto se realiza de nuevo de forma equilibrada
entre los hosts restantes.
Para definir este tipo de reparto, basta con seleccionar la opción Host múltiple en las propiedades
del clúster de equilibrio de carga, y marcar, a continuación, la opción Igual en las propiedades de
una regla de puerto asociada a cada nodo del clúster. En este modo, también podemos definir la
afinidad de las sesiones.
c. Modo manual
Este modo de equilibrio de carga permite definir incluso el porcentaje de reparto asignado a cada
nodo del clúster. Cada nodo estará configurado con un peso que definirá su carga en el clúster
NLB:
Para definir este tipo de equilibrio de carga, basta con desmarcar la opción Igual en las
propiedades de una regla de puerto asociada a cada nodo del clúster y definir de forma manual, a
continuación, la carga a tratar por cada nodo seleccionado:
3. Modos de transmisión
El conjunto de los nodos de una infraestructura de equilibrio de carga debe poseer una dirección IP
estática ubicada en una misma subred. Las tarjetas de red deben estar configuradas en
modoUnicast (monodifusión) o Multicast (multidifusión). No se soportan entornos mixtos. Todos los
hosts de un clúster deberán pues utilizar el mismo modo de transmisión:
a. Unicast - Monodifusión
Durante la implementación del clúster NLB en modo unicast, la dirección MAC (Media Access Control),
asociada a la única tarjeta de red, se desactiva y se remplaza por una dirección MAC virtual
generada automáticamente. Todos los hosts del clúster poseen entonces la misma dirección MAC,
lo cual hace imposible la comunicación entre los hosts de un mismo clúster.
En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 02-bf-
XX-XX-XX-XX:
Cuando un clúster utiliza el modo unicast, los miembros intercambian peticiones de broadcast
para indicar su pertenencia al clúster.
b. Multicast - Multidifusión
Este modo de transmisión puede utilizarse cuando un host cuenta con una o más tarjetas de red.
La primera tarjeta de red estará dedicada al tráfico del clúster NLB y la segunda a la administración
del servidor.
Cuando implementamos un clúster NLB en modo multicast, se conserva la dirección MAC (Media
Access Control) asociada a la primera tarjeta de red. La interfaz dedicada al clúster poseerá una
dirección MAC diferente en cada host, además de la dirección MAC del clúster. La segunda tarjeta
de red permitirá a cada nodo comunicarse dentro del clúster o con las otras redes.
En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 03-bf-
XX-XX-XX-XX:
c. Multidifusión IGMP
Este modo de transmisión puede utilizarse cuando un host cuenta con una o más tarjetas de red.
Combinando el modo de transmisión Multicast con IGMP (Internet Group Management Protocol), se
garantiza que el flujo de datos emitido por el clúster NLB pasará por los puertos del conmutador
dedicados a cada nodo.
En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 01-00-
XX-XX-XX-XX:
Ninguno (None): todas las peticiones de un cliente se dirigen a cualquier servidor miembro
del clúster.
Sencillo (Single): todas las peticiones de un cliente se dirigen al mismo servidor después de
una primera conexión.
Red (Network): todas las peticiones de un cliente se dirigen al mismo servidor en función de
su dirección IP. Esta opción se utiliza, principalmente, cuando varios usuarios provienen de
subredes diferentes:
Por ejemplo, cuando un host está fuera de servicio y no responde, se le excluye automáticamente
del clúster NLB y no se le dirige ninguna petición.
Para determinar si los servidores de un clúster están activos, se intercambian mensajes de latido
entre sí, también llamados Heartbeat (latido de corazón), cuyo objetivo es comprobar su correcto
funcionamiento además de su pertenencia al clúster. El envío de estos mensajes está planificado
cada cinco segundos en cada host (este período se reduce a un segundo durante las fases de
convergencia, para que el clúster establezca la lista de miembros activos). Si uno de ellos no es
capaz de emitir mensajes de latido, se considera fuera de servicio y se excluye automáticamente del
clúster NLB. Este proceso no necesita intervención humana y es perfectamente autónomo.
En el caso de excluir un host del clúster, se produce un fenómeno de convergencia. Los servidores
activos integrantes del clúster convergen para determinar el conjunto de tareas siguientes:
Elegir un nuevo host por defecto (el que tenga la propiedad más alta).
Verificar que las nuevas peticiones entrantes se gestionan en los hosts disponibles del
clúster.
Es posible configurar la frecuencia de envío de los mensajes de latido en un clúster modificando una
clave del registro en cada nodo.
La clave de registro siguiente permite configurar la frecuencia del envío de los mensajes de
latido llamados Heartbeat (valor expresado en milisegundos):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgPeriod (Valor por defecto: 1 seg., es decir 1000 m s en decimal):
La siguiente clave del Registro permite definir el número de mensajes de latido fallidos antes
de declarar un host como fuera de servicio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgTolerance (Valor por defecto: 5 intentos):
Trabajos prácticos
La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permitirá
garantizar el acceso a los servidores web que hospedan el sitio Intranet de la empresa. El sitio
intranet lo consulta, esencialmente, el personal de la empresa y la dirección le solicita que el acceso
esté optimizado con por una solución de reparto de carga de red.
La infraestructura debe apoyarse en dos servidores web bajo IIS albergando cada uno una copia del
sitio intranet. Los dos servidores miembros del dominio Infonovice.priv deben estar integrados en un
clúster de reparto de carga de red.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Para complementar la parte teórica del reparto de carga, aquí tiene algunos escenarios que le
permitirán utilizar las diferentes herramientas e implementar una infraestructura NLB. Para
establecer un laboratorio con máquinas virtuales, podemos crear una infraestructura de prueba en
la plataforma Cloud de Microsoft Azure (1 mes de evaluación
gratuito:http://www.windowsazure.com/es-es).
Paso 4: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación, Seleccionar servidor de destino y Seleccionar roles de servidor.
Antes de configurar la infraestructura de equilibrio de carga de red hay que verificar que las
direcciones IP de cada nodo están configuradas de forma estática y no utilizando DHCP. En nuestro
caso, vamos a configurar una infraestructura NLB en modo unicast a través de una única tarjeta de
red en cada host.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2,
con una cuenta con permisos de administrador.
enConfiguración:
Paso 3: en la sección Configuración, haga clic en Panel de control:
Para acceder a esta ventana más rápidamente, podemos escribir el comando ncpa.cplen una
ventana Ejecutar o Símbolo del sistema.
Paso 10: haga clic dos veces en Aceptar para salir de la ventana de propiedades del adaptador
de red.
Paso 11: la dirección IP de la tarjeta de red del servidor NLB-01 está ahora configurada de
forma estática. Repita los pasos 1 al 10 en el servidor NLB-02 con la información de
configuración IP siguiente:
La creación de un clúster de equilibrio de carga de red tendrá como objetivo crear la dirección IP
virtual que será el punto de entrada de todos los nodos del clúster. En primer lugar, es preciso
verificar que la hora de cada servidor está perfectamente configurada y sincronizada.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.
Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: en el árbol de la consola, haga clic con el botón derecho en Clústeres de equilibrio de
carga de red y haga clic en Nuevo clúster:
Paso 5: seleccione la interfaz de red que servirá para el clúster de equilibrio de carga y haga clic
en Siguiente.
Paso 6: en la ventana Clúster nuevo: Parámetros de host, deje las opciones por defecto y, a
continuación, haga clic en Siguiente.
Paso 7: en la ventana Clúster nuevo: Dirección IP del clúster, haga clic en Agregar para
especificar la dirección IP virtual del clúster de equilibrio de carga.
Paso 8: escriba la dirección IP virtual siguiente, accesible a los usuarios y, a continuación, haga
clic en Aceptar:
Paso 9: en la ventana Clúster nuevo: Direcciones IP del clúster, haga clic en Siguiente:
Paso 10: en la ventana Clúster nuevo: Parámetros de clúster, informe el campo Nombre
completo de Internet escribiendo Intranet.infonovice.priv, marque la opción Multidifusión para
definir el modo de operación del clúster y haga clic en Siguiente:
Paso 11: en la ventana Clúster nuevo: Reglas de puerto, haga clic en Finalizar.
Paso 12: el clúster de equilibrio de carga de red Intranet.infonovice.priv está, ahora, configurado
con un único host:
Es posible configurar un clúster de equilibrio de carga de red con varias direcciones IP virtuales.
También es posible aplicar una regla de puerto diferente por IP virtual del clúster.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.
Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: en el árbol de la consola, haga clic con el botón derecho en el nombre del clúster
(Intranet.infonovice.priv) y, a continuación, haga clic en Propiedades de clúster.
La regla de puerto por defecto redirige todas las peticiones de usuario entrantes de ambos
protocolos, TCP y UDP, a un puerto comprendido entre 0 y 65535. La regla de afinidad por
defecto está definida para "single".
Con una regla de configuración de puerto es, también, posible bloquear el acceso a algunos puertos
TCP o UDP haciendo clic en la opción Deshabilitar este intervalo de puerto:
Es posible crear varias reglas de puerto, asociadas o no a diferentes IP virtuales que pertenezcan al
clúster de equilibrio de carga de red.
Configurar la afinidad
Para configurar la afinidad de una sesión hay que activar el modo de filtrado Host múltiple en una
regla de puerto y, a continuación, marcar la opción correspondiente a la afinidad de sesión deseada.
En nuestro caso, podemos seleccionar la afinidad Sencillo que permite a un usuario volver a conectar
al mismo servidor en caso de una pérdida de conexión al clúster:
Para realizar esta operación, el segundo host NLB-02, debe estar configurado con una dirección
IP fija, además de tener instalada la característica del servidor Equilibrio de carga de red.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.
Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: haga clic con el botón derecho en el nombre del clúster (Intranet.infonovice.priv) y, a
continuación, haga clic en Agregar host al clúster.
Paso 5: seleccione la interfaz del host remoto a configurar para el clúster de equilibrio de carga y,
a continuación, haga clic en Siguiente:
Paso 6: en la ventana Agregar host al clúster: Parámetros de host, verifique que tiene
asignada una prioridad igual a 2 y, a continuación, haga clic en Siguiente:
El segundo nodo de un clúster tendrá por defecto un parámetro de prioridad fijado en 2, porque
el primer host de un clúster es prioritario. Esto quiere decir que tiene un parámetro de prioridad
fijado en 1.
Paso 7: en la ventana Agregar host al clúster: Reglas de puerto, haga clic en Finalizar.
Para administrar un clúster de equilibrio de carga de red por línea de comandos, hay que emplear el
ejecutable NLB.exe ubicado en el directorio C:\Windows\System32 del servidor que tenga la
característica de equilibrio de carga de red:
Por ejemplo, si deseamos desactivar de forma remota todas las peticiones entrantes en un host
específico del clúster, basta con escribir el comando siguiente:
Para conocer la lista de opciones disponibles con el ejecutable NLB, basta con escribir el comando
siguiente: NLB help
Help
Ip2mac
Reload
Display
Query
Suspend
Resume
Start
Stop
Drainstop
Enable
Disable
Drain
Queryport
Params
Paso 2: escriba el siguiente comando, que permite identificar el nombre de la interfaz de red a
configurar:
Get-NetAdapter
Paso 3: escriba el siguiente comando para agregar una IP virtual al clúster de equilibrio de carga:
Por ejemplo:
Paso 4: abra la consola Administrador de equilibrio de carga de red, edite las propiedades del
clúster para verificar que la dirección IP virtual 192.168.0.204 se ha agregado correctamente:
Paso 5: para eliminar la dirección IP virtual agregada previamente, escriba el comando siguiente:
Paso 2: escriba el siguiente comando para identificar el nombre de la interfaz de red que desea
configurar:
Get-NetAdapter
Por ejemplo:
Paso 4: abra la consola Administrador de equilibrio de carga de red para verificar que el host
NLB-02 se ha detenido correctamente:
Paso 5: para arrancar un host del clúster, escriba el comando PowerShell siguiente:
Este procedimiento describe cómo agregar la característica IIS en un servidor Windows 2012 R2.
Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador local.
Paso 4: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 5: en la ventana Seleccionar roles de servidor, marque la opción Servidor web (IIS).
Paso 10: repita los pasos 1 al 9 en el segundo servidor que compone el clúster de equilibrio de
carga (NLB-02).
Paso 11: configure los parámetros del clúster de equilibrio de carga para redefinir la regla de
puerto para un intervalo de 1 a 65535.
Paso 12: conéctese al equipo CLIENT1 y acceda a uno de los servidores IIS escribiendo la URL
con la dirección IP virtual del clúster, es decir http://192.168.0.202. Identifique a qué servidor
le ha redirigido el administrador de equilibrio de carga:
Ahora que los servidores de aplicación Web están configurados, vamos a simular la pérdida de uno de
los nodos del clúster para verificar que el acceso a otro servidor del clúster está siempre disponible.
Paso 1: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga
de red.
Paso 2: en el ejercicio anterior, el clúster de equilibrio de carga de red ha redirigido nuestra
petición al servidor llamado NLB-01. Vamos, ahora, a simular el fallo de este último prohibiendo
cualquier conexión a este servidor. Identifique el nodo NLB-01 en la consola Administrador de
equilibrio de carga de red, contenido en el clúster previamente creado. Haga clic con el botón
derecho en el servidor y, a continuación, haga clic en Controlar host - Detener:
Un clúster NLB se compone de varios servidores que tienen la funcionalidad Equilibrio de carga
de red.
Validación de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 ¿Cuántos nodos es posible gestionar, como máximo, en un clúster NLB?
16
32
64
2 En un modo de equilibrio de carga prioritario, ¿cuál de estas cifras significa que un servidor
tiene mayor prioridad?
6 En un clúster NLB, ¿a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /7
3. Respuestas
1 ¿Cuántos nodos es posible gestionar, como máximo, en un clúster NLB?
16
32
64
En una infraestructura que utiliza el equilibrio de carga de Microsoft, NLB puede funcionar con
clústeres compuestos de hasta 32 hosts. Esta limitación del software es válida para cualquier
edición de Windows Server 2012 R2.
2 En un modo de equilibrio de carga prioritario, ¿cuál de estas cifras significa que un servidor
tiene mayor prioridad?
En un clúster NLB podemos configurar tres modos de difusión. Unicast, multicast e IGMP
multicast.
Una regla de puerto permite configurar una directiva de reparto de carga agregando un filtrado de
las peticiones entrantes basado en el protocolo de red, el puerto y la dirección IP virtual del clúster.
Mediante una regla de puerto es posible, también, configurar el modo de equilibrio de carga.
6 En un clúster NLB, ¿a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?
Por defecto, se considera que un host está fuera de servicio y se le excluye de un clúster NLB si no
responde a más de 5 mensajes de latido.
La consola Adm inistrador de equilibrio de carga de red permite administrar un clúster NLB
empleando una interfaz gráfica.
Requisitos previos y objetivos
1. Requisitos previos
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.
2. Objetivos
Saber implementar una solución de alta disponibilidad.
Soporte para 8000 máquinas virtuales en cada clúster (frente a 1000 para Windows Server
2003 y 4000 para Windows Server 2012).
2. Funcionamiento de un clúster
En el funcionamiento básico de un clúster, cuando un nodo deja de responder, el clúster cambia
automáticamente el servicio enviando a los usuarios a otro nodo disponible del clúster. Un clúster se
compone de varios componentes:
Las redes: un clúster posee una red para comunicarse con los usuarios y una red diferente
para que los servidores se comuniquen entre ellos.
Los clientes: representan los usuarios que acceden al servicio hospedado en el clúster.
Al igual que una infraestructura de equilibrio de carga (NLB), los nodos de un clúster se comunican
entre sí. De este modo, cada nodo conoce el estado de los otros nodos. Esta comunicación permite
a los nodos del clúster conocer en tiempo real cuáles son los nodos defectuosos, los nodos
entrantes o salientes del clúster. En lo relativo al almacenamiento, los nodos del clúster acceden al
mismo dispositivo de almacenamiento sea un volumen compartido en un disco duro, un elemento de
almacenamiento iSCSI o una cabina de almacenamiento SAN de fibra óptica. La opción de la solución
de almacenamiento se debe basar en las especificaciones de la empresa y las expectativas en
términos de rendimiento. En cuanto a las tecnologías de particionado de discos, las particiones FAT
no están soportadas. Los discos que componen el almacenamiento disponible pueden ser de tipo
MBR o GPT.
a. Redes
La implementación de un clúster de conmutación por error requiere la configuración de diferentes
redes de comunicación. Los nodos del clúster soportan los protocolos de comunicación IPv4 e IPv6.
Según las mejores prácticas, cada nodo del clúster debe contar con al menos dos tarjetas de red
para poder configurar las redes siguientes:
Una red privada: este tipo de red permite a los nodos del clúster de conmutación por error
comunicarse entre sí para intercambiar mensajes de latido llamados heartbeat en la versión
inglesa. Los mensajes de latido sirven para interrogar a los integrantes del clúster y
verificar que cada nodo está en línea. El envío de los mensajes de latido con destino a los
nodos del clúster se realiza mediante el protocolo UDP por el puerto 3343.
Una red pública: este tipo de red permite a los clientes conectarse al servicio hospedado
en los nodos del clúster.
En la instalación del clúster, una de las tarjetas de red debe identificarse como red pública y la otra
como red interna:
Si la infraestructura de conmutación solo cuenta con nodos que disponen de una sola tarjeta de
red, es posible autorizar a los clientes a conectarse mediante una red interna marcando la
opciónPermitir que los clientes se conecten a través de esta red:
Hablamos entonces de una red mixta que combina la red interna del clúster de conmutación por
error y la red pública que acepta las comunicaciones de los equipos cliente.
Si los discos que componen el almacenamiento del clúster están accesibles mediante una red
iSCSI, es muy recomendable dedicar, también, esta red para separar la red interna de la red
pública.
b. Conmutación
Para respetar un nivel de calidad de servicio óptimo, los clústeres de conmutación interrogan
permanentemente a los nodos que los componen para saber si están activos. En caso de no
obtener respuesta de un nodo activo del clúster, se le excluye automáticamente para que los
recursos conmuten a otro nodo disponible del clúster que se convierte entonces en el nodo activo.
El siguiente esquema ilustra las acciones realizadas por un clúster durante una conmutación de
recursos a otro nodo:
5. Los recursos compartidos se ponen en línea para el nuevo nodo activo del
clúster.
c. Volúmenes compartidos
En la mayoría de las infraestructuras, solo un nodo del clúster alberga el servicio donde la
aplicación está disponible para los usuarios. Este servidor se conoce como servidor activo y ejecuta
localmente la aplicación con un acceso exclusivo en la ubicación de almacenamiento de los datos
del aplicativo. Los demás nodos del clúster se configuran como nodos pasivos. Cuando el nodo
activo queda fuera de servicio por un fallo, otro nodo del clúster se convierte en el nodo activo y
ejecuta a su vez la aplicación de manera local teniendo la precaución de recuperar el acceso
exclusivo al recurso compartido de los datos del aplicativo. Para gestionar los accesos
concurrentes, Microsoft ha introducido a partir de Windows Server 2008 R2 la tecnología de
volúmenes compartidos, más conocidos bajo el nombre de CSV en la versión inglesa del sistema
operativo (CSV: Cluster Shared Volumes). Los volúmenes compartidos permiten pues a los nodos
de un clúster de conmutación por error acceder simultáneamente a un mismo archivo hospedado
en una LUN del elemento de almacenamiento compartido. Los volúmenes compartidos aparecen
bajo la forma de un sistema de archivos de tipo CSVFS (Cluster Shared Volume File System) y
utilizan la tecnología de compartición SMB 3.0 (Server Message Block) para activar los flujos de
datos compartidos entre los nodos de un clúster. A diferencia de los sistemas de archivos NTFS, el
sistema de archivos CSVFS puede someterse a operaciones de mantenimiento manteniendo el
servicio en línea. Es posible, por ejemplo, ejecutar el comando de verificación del disco Check
Disk(Chkdsk.exe) sin necesidad de desmontar las particiones activas o reiniciar el sistema.
En comparación con Windows Server 2008 R2, la consola de administración conserva casi la misma
interfaz. Se han añadido a su vez comandos PowerShell adicionales para la gestión del clúster
bajo Windows Server 2012 R2 y algunas características, como la utilidad Cluster.exe, se han
eliminado en Windows Server 2012.
Ha aparecido, también, una nueva característica para el clúster de conmutación por error a partir
de Windows Server 2012. Es, ahora, posible actualizar el sistema operativo con parches de
Windows en cada nodo sin tener que interrumpir el servicio. Los parches (Hotfix) de Microsoft
pueden instalarse mediante el complemento Actualización compatible con clústeres (Cluster-
Aware Updating), disponible en las herramientas administrativas del sistema operativo.
Crear un nuevo clúster: permite crear un clúster de conmutación por error añadiendo los
servidores que compondrán los diferentes nodos disponibles de la infraestructura de
conmutación por error.
Inventario:
Almacenamiento
Sistema
Red:
Validar la configuración de IP
Almacenamiento:
Validar los datos vitales de producto (Vital Product Data) del dispositivo SCSI
Cuando la configuración del clúster de conmutación por error finaliza, también es posible
mostrar un informe de configuración en formato *.mht desde el asistente de creación del
clúster.
Una vez establecida la conexión al clúster, la consola de administración permite visualizar las
tareas de administración siguientes:
Nodos: permite gestionar los diferentes hosts del clúster. También podemos añadir un
nuevo host al clúster o detener el servicio de clúster.
Almacenamiento:
Discos: permite administrar los discos disponibles para un clúster. La visualización indica
que nodo del clúster es propietario del espacio de almacenamiento. Cuando un nodo
queda inactivo, el quórum determina el nodo al cuál bascular (consulte la sección
siguiente).
Redes: permite visualizar las redes internas o externas disponibles para el clúster de
conmutación por error.
Red de clústeres 1 y 2: permite definir qué red está dedicada a la red interna o a la red
de cliente.
Eventos de clúster: permite visualizar los registros de eventos vinculados a la actividad del
clúster de conmutación por error.
f. Quórum
En un clúster de conmutación por error, un quórum determina el número de nodos que deben
estar en línea para que el clúster pueda garantizar el servicio a los usuarios. La opción de dejar el
servicio en línea se realiza mediante un sistema de votación en el que cada nodo del clúster o
disco compartido puede dar su voto. Para que la votación sea justa, hace falta que el número de
nodos sea impar, para que haya forzosamente un voto ganador y no de igualdad. Si el número de
nodos disponibles para un voto es idéntico, un componente del clúster como un servidor de
archivos o un disco duro compartido puede agregarse como testigo para participar en el voto y de
esta forma aportar un voto decisivo. Cuando varios nodos de un clúster se encuentran
defectuosos y el voto establece la parada del servicio, la funcionalidad de clúster de conmutación
cesa de inmediato deteniendo los servicios de Windows asociados a los nodos del clúster.
Un quórum puede funcionar según varios modos. La configuración del tipo de quórum se realiza en
las propiedades del clúster, ejecutando el Asistente para configurar quórum de clúster.
Un quórum de clúster puede funcionar en los modos de configuración siguientes:
Mayoría de disco y nodo (Node and Disk Majority): en este modo de quórum, los nodos
del clúster y un disco de almacenamiento testigo pueden votar. Cuando la mayoría de los
componentes están en línea y pueden votar, el servicio se mantiene en el clúster.
Mayoría de nodo (Node Majority): en este modo de quórum, solo los nodos del clúster
pueden votar. No puede existir un componente testigo. Si más de la mitad de los
componentes están en línea para votar, el servicio se mantiene en el clúster.
Mayoría de recurso compartido de archivos y nodo (Node and File Share Majority): en
este modo de quórum, los nodos del clúster y un recurso compartido de archivos testigo
pueden votar. Cuando la mayoría de los componentes están en línea y pueden votar, el
servicio se mantiene en el clúster.
Antes de crear un clúster de conmutación por error, debemos verificar que cada nodo responde a
los requisitos previos descritos por Microsoft. Todos los servidores destinados a ser los diferentes
nodos del clúster deben poseer las características siguientes:
La misma edición del sistema operativo Windows Server 2012 R2 (Standard o Datacenter).
h. Los roles
Los roles permiten configurar las aplicaciones o servicios disponibles mediante la infraestructura de
clúster de conmutación por error. Es importante identificar y especificar el tipo de servicios a
prestar en alta disponibilidad porque no todas las aplicaciones pueden funcionar con una solución
de clúster de conmutación por error. Antes de integrar un servicio o una aplicación a este tipo de
infraestructura, es necesario contactar con el fabricante para saber si la aplicación soporta este
tipo de implementación. La sección Roles de la consola del administrador de clústeres de
conmutación por error permite configurar los parámetros de alta disponibilidad para un rol de
servidor. De esta forma, es posible definir las acciones que el clúster debe realizar para restablecer
un servicio o una aplicación. Si uno de los nodos del clúster sufre un fallo (un fallo del sistema,
tarjeta de red fuera de servicio, u otros), el servicio cambia automáticamente a otro nodo
disponible. Sin embargo, si es la aplicación o el rol de servidor el que sufre el fallo, el clúster es
capaz de reiniciar automáticamente el servicio en función de los parámetros de los roles fijados
previamente en la consola de administración. Antes de agregar ciertos roles de servidor, el
asistente verifica la presencia del rol en uno de los nodos del clúster. Si el rol o servicio no existe,
entonces no es posible configurar el rol en el clúster. Existen varios roles preconfigurados para
desplegarse como servicio en clúster:
Servidor de archivos
Equipo virtual
Servicio genérico
i. Optimización de los CSV
Los volúmenes compartidos de clúster (Cluster Shared Volumes) en Windows Server 2012 R2 se
benefician de ciertas mejoras a nivel de la gestión y de la compartición de recursos. En Windows
Server 2012 un nodo podía ser propietario de varios discos agregados a volúmenes compartidos.
En adelante, el clúster de conmutación por error equilibra automáticamente la propiedad de cada
nodo sobre los volúmenes compartidos para optimizar las entradas y salidas sobre los discos
(optimización de entrada/salida, escritura y lectura en los discos).
En caso de fallo de uno de los nodos del clúster, el cambio del nodo propietario del disco CSV
defectuoso a los otros nodos funcionales del clúster se realizará de forma más efectiva.
En Windows Server 2012, cada nodo poseía una instancia única del servicio "Servidor" a cargo de
administrar el conjunto del tráfico SMB entre los nodos y el recurso compartido. En Windows Server
2012 R2 cada nodo puede, sin embargo, contar con varias instancias del servicio "Servidor" que se
supervisa para mejorar la continuidad del servicio y un cambio más rápido a los otros nodos del
clúster en caso de fallo.
Para verificar el estado de funcionamiento de los discos de volumen compartidos en cada nodo,
podemos en adelante utilizar el comando PowerShell siguiente:
Get-ClusterSharedVolumeState
Trabajos prácticos
La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permitirá
garantizar el acceso a los servidores web que hospedan el sitio Internet de la empresa. La
presentación del sitio web permite a los usuarios depositar allí los archivos comprimidos para ser
almacenados en un servidor de archivos. El sitio web infonovice.es lo consultan muchos internautas y
clientes potenciales, la dirección le solicita que el acceso al sitio sea redundante para que esté
accesible permanentemente, 24h/7. El servidor de archivos se basa en una plataforma accesible
mediante un almacenamiento iSCSI.
Para responder a esta necesidad, se le pide implementar una solución de clústeres de servidores
para que el sitio web pueda estar operativo en caso de fallo. La infraestructura debe basarse en dos
servidores web bajo IIS albergando cada uno una copia del sitio Internet. Los dos servidores deben
estar configurados en clúster.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
A continuación, cree los nuevos discos iSCSI con los parámetros siguientes desde
elAdministrador del servidor:
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 3: en la ventana Seleccionar roles de servidor, marque la opción Servidor Web (IIS).
Cuando se abra la ventana emergente Agregar características para el Servidor del destino
iSCSI, haga clic en Agregar características y en Siguiente.
Paso 4: deje las demás opciones por defecto haciendo clic en Siguiente y, a continuación, haga
clic en Instalar y Cerrar.
Paso 4: en la ventana Conexión rápida, aparece un IQN en la sección Destinos detectados, que
se corresponde al destino iSCSI llamado CLUSTER-IIS. Haga clic en Listo.
Paso 5: verifique que el IQN detectado tiene un estado Conectado luego haga clic en Aceptar.
Paso 6: vuelva al Administrador del servidor y, a continuación, haga clic en la sección Servicios
de archivos y de almacenamiento, Volúmenes y discos.
Paso 7: seleccione cada disco de 10 GB, de tipo iSCSI y cuyo estado muestra Sin conexión. Haga
clic con el botón derecho encima y haga clic en Poner en línea.
Paso 8: haga clic en Sí para confirmar la puesta en línea del disco duro iSCSI.
Paso 9: cree un nuevo volumen en cada disco duro iSCSI con los parámetros siguientes y, a
continuación, haga clic en Crear:
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalación, Seleccionar servidor de destino y Seleccionar roles de servidor.
Paso 5: abra la consola Administrador del servidor en el servidor CLS-01, haga clic
enHerramientas y, a continuación, en Administración de clústeres de conmutación por error.
Paso 8: en el paso Seleccionar servidores o un clúster, haga clic en Examinar, introduzca los
nombres de los servidores a verificar (CLS-01; CLS-02), separándolos por un punto y coma y, a
continuación, haga clic en Aceptar.
Paso 9: una vez seleccionados los servidores a verificar, haga clic en Siguiente:
Paso 10: en el paso Opciones de pruebas del asistente, marque la opción Ejecutar todas las
pruebas y haga clic en Siguiente.
Paso 12: cuando terminen las pruebas, verifique que el resultado global valida que la
configuración de la infraestructura seleccionada está adaptada para configurar un clúster.
Verifique que la opción Crear el clúster ahora con los nodos validados está marcada y, a
continuación, haga clic en Finalizar:
Paso 13: en el paso Antes de comenzar de la ventana Asistente para crear clúster, haga clic
enSiguiente.
Paso 14: en el paso Punto de acceso para administrar el clúster, escriba CLUSTER-IIS en el
campo Nombre del clúster y, a continuación, indique la dirección IP 192.168.0.200 en el
campoDirección. A continuación, haga clic en Siguiente:
Paso 15: en el paso Confirmación, verifique que la opción Agregar todo el almacenamiento
apto al clúster se encuentra marcada y, a continuación, haga clic en Siguiente.
Paso 16: en el paso Resumen, haga clic en Finalizar. El clúster creado aparece, ahora, en la
ventana de la consola Administrador de clústeres de conmutación por error:
Paso 2: despliegue el árbol del clúster disponible en la consola, para seleccionar CLUSTER-
IIS.infonovice.priv - Almacenamiento - Discos. Seleccione uno de los discos donde el estado
muestre Almacenamiento disponible y, a continuación, haga clic en Agregar a volúmenes
compartidos de clúster.
Paso 2: despliegue el árbol del clúster para seleccionar el nodo Roles. En el menú Acciones,
haga clic en Configurar rol.
Paso 4: en el paso Seleccionar rol, seleccione el rol Servicio genérico y haga clic en Siguiente.
Paso 9: en el paso Confirmación, verifique los parámetros del rol a desplegar en el clúster y, a
continuación, haga clic en Siguiente.
En este punto, el clúster de dos servidores está configurado para reiniciar el servicio IIS en caso de
fallo. El almacenamiento de los sitios web está configurado en el servidor CLS-01. Solo este servidor
puede tener acceso al recurso compartido por el momento.
El segundo servidor CLS-02 no tiene acceso al recurso de almacenamiento iSCSI. Solamente en caso
de producirse un error, se desconectará el recurso compartido para volver a conectarse después de la
conmutación al nodo de respaldo.
6. Simular un fallo en el clúster
Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic
enHerramientas y, a continuación, en Administrador de clústeres de conmutación por error.
Paso 2: identifique el nombre del servidor sobre el que se ejecuta el servicio proporcionado a los
usuarios y, a continuación, conéctese empleando una conexión de escritorio remoto.
Paso 4: vaya a la consola del Administrador de clústeres de conmutación por error, despliegue
el árbol y seleccione el nodo Eventos de clúster.
Paso 5: identifique un evento de error con ID 1069, correspondiente a una parada de servicio de
publicación World Wide Web en el servidor CLS-01.
Paso 6: cambie de nuevo al servidor CLS-01 y verifique que el Servicio de publicación World
Wide Web ha reiniciado correctamente.
Un clúster de conmutación por error ofrece una solución software de alta disponibilidad.
Un clúster de conmutación por error en Windows Server 2012 R2 puede soportar hasta 64
nodos físicos.
Un clúster de conmutación por error en Windows Server 2012 R2 puede soportar hasta 8000
máquinas virtuales.
Los clientes se comunican con la instancia de la aplicación en clúster mediante una dirección IP
virtual.
Un clúster se vale de una red interna para que los nodos puedan comunicarse entre sí, además
de una red pública para que los clientes puedan comunicarse con la instancia de la aplicación
soportada por el clúster.
Antes de crear un clúster de conmutación por error, los servidores integrantes deben pasar con
éxito un conjunto de pruebas. Si algún servidor no supera las validaciones, entonces no podrá
formar parte de los nodos de un clúster.
Un clúster de conmutación por error permite configurar roles preconfigurados. Un rol permite
reiniciar un servicio fuera de línea, ejecutar scripts predefinidos o cambiar una aplicación a otro
nodo disponible en caso de fallo.
1. Preguntas
1 ¿Qué es un clúster?
3 ¿Qué protocolo de red y puerto de comunicación utilizan los nodos de un clúster para
comunicarse entre sí?
5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clúster.
6 ¿Cuántos nodos físicos se soportan en un clúster de servidores Windows Server 2012 R2?
7 ¿Cuántas máquinas virtuales se soportan en cada clúster Windows Server 2012 R2?
8 En un clúster Windows Server 2012 R2, ¿para que sirven los CSV?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 ¿Qué es un clúster?
3 ¿Qué protocolo de red y puerto de comunicación utilizan los nodos de un clúster para
comunicarse entre sí?
Los nodos del clúster intercambian entre ellos mensajes de latido empleando el protocolo UDP en
el puerto 3343.
El servicio Windows Serv icio de clúster permite administrar los servidores de un clúster.
5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clúster.
Los servidores que quieran integrarse en un clúster de conmutación por error deben cumplir los
requisitos previos siguientes:
6 ¿Cuántos nodos físicos se soportan en un clúster de servidores Windows Server 2012 R2?
7 ¿Cuántas máquinas virtuales se soportan en cada clúster Windows Server 2012 R2?
En Windows Server 2012 R2, cada clúster puede mantener 8000 máquinas virtuales.
8 En un clúster Windows Server 2012 R2, ¿para qué sirven los CSV?
Los CSV (Cluster Shared Volumes), o volúmenes compartidos, permiten a los nodos de un clúster
acceder simultáneamente a un mismo archivo albergado en una LUN del espacio de
almacenamiento. Este procedimiento se utiliza, en particular, para el almacenamiento de una
imagen virtual a la cual se necesita acceso simultáneo por dos hosts Hyper-V.
El complemento Adm inistrador de clústeres de conm utación por error permite administrar
un clúster Windows Server 2012 R2.
Un quórum es un voto que permite determinar cuántos nodos deben estar activos en un clúster
para garantizar el servicio a los usuarios.
Mayoría de recurso compartido de archivos y nodo (Node and File Share Majority).
Requisitos previos y objetivos
1. Requisitos previos
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.
2. Objetivos
Saber implementar un clúster de conmutación por error Hyper-V.
1. Presentación de Hyper-V
En el mundo de la virtualización de servidores, existen varios actores que ofrecen productos que
compiten con la solución ofrecida por Microsoft. En entornos de producción, encontramos
principalmente los productos siguientes:
VMware vSphere
Citrix XenServer
Microsoft Hyper-V
En el sistema operativo Windows Server 2012 R2, Microsoft ha integrado la versión 3 de Hyper-V. Un
hipervisor es una capa de software que se ejecuta directamente en una máquina física para poder
gestionar múltiples máquinas virtuales en un único host. Este proceso está diseñado para ofrecer a
las empresas muchas ventajas, como la alta disponibilidad, reducción de costes y una gestión
centralizada del sistema de información.
Con esta nueva versión del sistema operativo, Microsoft proporciona a las empresas rendimientos
más importantes y características mejoradas con respecto a la versión anterior en términos de
virtualización con Hyper-V. Las infraestructuras de virtualización pueden beneficiarse en adelante de
las ventajas ofrecidas por las siguientes características:
4 TB de memoria RAM.
Una infraestructura Hyper-V en Windows Server 2012 R2 ofrece en adelante la posibilidad de:
Implementar la QoS (Quality of Service) en cada disco virtual para controlar y limitar el I/O
(Input/Output: entrada/salida) de las máquinas virtuales.
La instalación del rol Hyper-V se realiza a través del Administrador del servidor, agregando el rol
Hyper-V. Añadir este rol requiere un reinicio del servidor para implementar el hipervisor Hyper-V:
Antes de instalar el rol de servidor Hyper-V en las máquinas Windows Server 2012 R2 de un clúster
debemos garantizar que cada servidor cuenta con la misma versión de procesador y con una
tarjeta de red dedicada al envío de mensajes de latido. Antes de unirse al clúster Hyper-V, los
servidores deben contar con la misma versión del sistema operativo así como el mismo nivel de
parches o service pack.
b. Administración de Hyper-V
%windir%\system32\mmc.exe "%windir%\system32\virtmgmt.msc"
Si su infraestructura Hyper-V está configurada en modo clúster de conmutación por error, las
máquinas virtuales asociadas al clúster Hyper-V deben gestionarse mediante el
complementoAdministrador de clústeres de conmutación por error:
La consola Administrador de Hyper-V permite conectarse a un host que ejecute el hipervisor de
Microsoft para administrar y gestionar la infraestructura virtual.
1. Replicación
La replicación permite aportar una solución de alta disponibilidad basada en la redundancia de
máquinas virtuales. Activando la replicación entre dos hosts Hyper-V y las máquinas virtuales, cada
host posee entonces una copia de la máquina virtual. Dado que esta copia está replicada, si uno de
los hosts que hospedan la máquina virtual se detuviera, alguno de los hosts restantes se haría
cargo arrancándola también. Para activar la replicación, es necesario, en primer lugar, configurar los
hosts Hyper-V para la replicación y, a continuación, configurar las máquinas virtuales para replicar
según sus parámetros de replicación.
No obstante, existe otro método de conmutación comúnmente llamado Guest Clustering. Este
método no consiste en tener una máquina virtual hospedada en un host Hyper-V de un clúster de
conmutación por error, sino dos máquinas virtuales idénticas, hospedadas en hosts diferentes del
clúster de conmutación por error. De esta forma, en caso de fallo, la máquina virtual hospedada en
el segundo host Hyper-V puede tomar el relevo más rápidamente. En este modo de conmutación, las
máquinas virtuales comparten el mismo espacio de almacenamiento.
El clúster de conmutación por error Hyper-V en Windows Server 2012 R2 soporta los elementos
siguientes:
64 nodos.
Migración rápida: permite desplazar una máquina virtual a otro host teniendo la precaución
de guardar el estado del servidor antes de la conmutación. Se vuelve a arrancar la máquina
una vez terminada la conmutación por error.
Migración en vivo: permite desplazar una máquina virtual en caliente a otro host del clúster.
Se sincroniza el estado del servidor durante el tiempo completo que dure la conmutación por
error.
Un clúster de conmutación por error tiene, también, en cuenta la migración del almacenamiento de
una máquina virtual. De esta forma, es posible desplazar los archivos que componen una máquina
virtual de un elemento de almacenamiento a otro.
Además, en lo sucesivo es posible exportar o clonar manualmente una máquina virtual en caliente.
Trabajos prácticos
La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permita
garantizar la disponibilidad de las máquinas virtuales en caso de pérdida de uno de los hosts de la
infraestructura Hyper-V.
Para responder a esta necesidad, se le pide implementar una solución de clúster de conmutación por
error para poder migrar en caliente una máquina virtual de un host Hyper-V a otro miembro del
clúster.
Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Ruta de acceso: Archivo HYPER-V.vhd (en cada partición E:\, F:\ y G:\)
Tamaño: 30 GB
Paso 3: en la ventana Microsoft iSCSI, haga clic en Sí para iniciar el servicio Windows asociado.
Paso 5: en la ventana Conexión rápida, haga clic en Listo y, a continuación, Aceptar para cerrar
la ventana.
Paso 7: haga clic con el botón derecho en los discos sin conexión y haga clic en Poner en línea. A
continuación, haga clic en Sí para confirmar la operación.
Paso 8: haga clic con el botón derecho en uno de los nuevos discos en línea, y haga clic enNuevo
volumen.
Paso 12: en el paso Especificar el tamaño del volumen, indique 30 GB y haga clic en Siguiente.
Paso 13: en el paso Asignar a letra de unidad o carpeta, deje la letra por defecto y haga clic
enSiguiente.
Paso 14: en el paso Seleccionar configuración del sistema de archivos, indique la siguiente
información y haga clic en Siguiente:
Paso 17: vuelva a realizar los pasos 6 al 16 seleccionando los demás discos en línea. Para los
nombres de volumen, el segundo disco se llamará VM y el tercero QUORUM.
Paso 18: inicie una sesión en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, enIniciador iSCSI.
Paso 19: en la ventana Microsoft iSCSI, haga clic en Sí para iniciar el servicio Windows
asociado.
Paso 20: en la ventana Propiedades: Iniciador iSCSI, en la pestaña General, escriba FILES-
01en el campo Destino y haga clic en Conexión rápida.
Paso 21: en la ventana Conexión rápida, haga clic en Listo y, a continuación, Aceptar para
cerrar la ventana.
Paso 22: abra el Administrador del servidor, vaya a la sección Servicios de archivos y
almacenamiento y haga clic en Discos.
Paso 23: haga clic con el botón derecho en cada disco sin conexión y haga clic en Poner en línea.
A continuación, haga clic en Sí para confirmar la operación. Verifique que las tres particiones
aparezcan en el puesto de trabajo.
Paso 24: vaya al servidor HV-01 y, a continuación, desde el Administrador del servidor,
agregue la característica Clúster de conmutación por error. Repita la operación en el
servidorHV-02.
Paso 25: desde la consola Administrador del servidor en HV-01, haga clic en Herramientas y,
a continuación, en Administrador de clústeres de conmutación por error.
Paso 28: en el paso Seleccionar servidores o un clúster, agregue los servidores HV-01 y HV-
02 y haga clic en Siguiente.
Paso 29: en el paso Opciones de pruebas, marque la opción Ejecutar todas las pruebas y haga
clic en Siguiente.
Paso 31: en el paso Resumen, verifique que las pruebas han concluido exitosamente y, a
continuación, marque la opción Crear el clúster ahora con los nodos validados.
Paso 32: en la ventana Asistente para crear clúster, haga clic en Siguiente en el paso Antes de
comenzar.
Paso 33: en el paso Punto de acceso para administrar el clúster, escriba CLUSTER-HV en el
campo Nombre del clúster y, a continuación, haga clic en Siguiente.
Paso 34: en el paso Confirmación, desmarque la opción Agregar todo el almacenamiento apto
al clúster y, a continuación, haga clic en Siguiente.
Paso 37: verifique que los tres discos están marcados y haga clic en Aceptar.
Etapa 38: verifique que los tres discos aparecen con un estado En línea:
Paso 39: seleccione el disco cuyo nombre de volumen es VM (se debe tratar del disco número 1),
haga clic con el botón derecho encima y haga clic en Agregar a volúmenes compartidos del
clúster.
Paso 40: haga clic con el botón derecho en el nodo CLUSTER-HV.infonovice.priv, haga clic
enAcciones adicionales y, a continuación, en Configurar opciones de quórum de clúster.
Paso 41: en el paso Antes de comenzar del Asistente para configurar quórum de clúster, haga
clic en Siguiente.
Paso 43: en el paso Seleccionar testigo de quórum, marque la opción Configurar un testigo de
disco y haga clic en Siguiente.
Paso 44: marque la opción del disco cuyo nombre de volumen es QUORUM y, a continuación,
haga clic en Siguiente (se debe tratar del volumen G:\).
Paso 45: en el paso Confirmación, haga clic en Siguiente.
En este punto, el nodo propietario de cada disco iSCSI debe ser el servidor HV-01. Si no fuera el
caso, realice la modificación.
Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y a continuación, en el Administrador del servidor, haga clic en Agregar
roles y características.
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalación y Seleccionar servidor de destino.
Paso 10: en la etapa Progreso de la instalación, haga clic en Cerrar y reinicie el servidor.
Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, cree el directorio C:\VM.
Paso 2: copie la carpeta que contiene la máquina virtual CLIENT2 en la carpeta C:\VM del
servidor HV-01.
Paso 4: en el árbol de la consola, seleccione el host Hyper-V, haga clic con el botón derecho
encima y haga clic en Importar máquina virtual.
Paso 6: en el paso Buscar carpeta, haga clic en Examinar para indicar la ruta C:\VM\CLIENT2.
Haga clic en Siguiente.
Paso 7: en el paso Seleccionar máquina virtual, haga clic en CLIENT2 y, a continuación,
enSiguiente.
Paso 8: en el paso Elegir tipo de importación, marque la opción Copiar la máquina virtual y, a
continuación, haga clic en Siguiente.
Paso 9: en el paso Elegir carpetas para archivos de máquina virtual, haga clic en Siguiente.
Paso 10: en el paso Elegir carpetas para almacenar discos duros virtuales, haga clic
enSiguiente.
Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuación, cree el directorio C:\REPLICACIÓN.
Paso 3: en el árbol de la consola, seleccione el host Hyper-V, haga clic con el botón derecho
encima y haga clic en Configuración de Hyper-V.
Paso 8: abra una ventana Ejecutar, escriba firewall.cpl y haga clic en Aceptar:
Paso 9: en el menú de la izquierda haga clic en Configuración avanzada.
Paso 10: en el árbol de la consola, haga clic en Reglas de entrada y, a continuación, en la lista
central, habilite la regla Escucha HTTP de réplica de Hyper-V (Tcp de entrada) y cierre todas
las ventanas del Firewall de Windows.
Paso 1: inicie una sesión en el servidor HV-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, en Administrador de Hyper-V.
Paso 8: en el paso Elegir método de replicación inicial, marque la opción Enviar copia inicial a
través de la red de la sección Método de replicación inicial. A continuación, marque la
opciónIniciar replicación inmediatamente de la sección Programar replicación inicial y haga clic
enSiguiente.
Paso 9: en el paso Finalización del Asistente para habilitar replicación, haga clic en Finalizar.
Paso 10: seleccione la máquina virtual CLIENT1 y, en la columna Estado, observe el progreso de
la replicación.
Paso 11: al finalizar la replicación la máquina virtual CLIENT1 estará, también, visible en el host
Hyper-V HV-02. Haga clic con el botón derecho en la máquina virtual replicada y, a continuación,
haga clic en Replicación\Mantenimiento de la replicación. Verifique que no ha habido errores en
la replicación y haga clic en Cerrar.
Paso 12: haga clic con el botón derecho en la máquina virtual CLIENT1 y haga clic
enReplicación\Conmutación por error planeada.
Paso 13: en la ventana Conmutación por error planeada, marque la opción Iniciar la máquina
virtual de réplica tras la conmutación por error y haga clic en Conmutación por error:
Paso 14: verifique que la máquina virtual CLIENT1 ha iniciado en el host HV-02. Haga clic con el
botón derecho en la máquina virtual y, a continuación, haga clic en Replicación\Quitar
replicación y confirme la eliminación.
Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. A continuación, copie el archivo C:\Users\Public\Documents\Hyper-V\Virtual
Hard Disks\CLIENT2.vhdx en la carpeta C:\ClusterStorage\Volume1.
Paso 2: en el Administrador del servidor del servidor HV-01, haga clic en Herramientas y, a
continuación, en Administrador de clústeres de conmutación por error. Despliegue el árbol de
la consola y haga clic con el botón derecho en Roles - Máquinas virtuales - Nueva máquina
virtual.
Paso 3: en la ventana Nueva máquina virtual, seleccione HV-01 y, a continuación, haga clic
enAceptar.
Paso 4: en el paso Antes de comenzar del Asistente para crear nueva máquina virtual, haga
clic en Siguiente.
Paso 8: en el paso Conectar disco duro virtual, marque la opción Usar un disco duro virtual
existente y haga clic en Examinar para seleccionar el
archivo:C:\ClusterStorage\Volume1\CLIENT2.vhdx. A continuación, haga clic en Siguiente:
Paso 9: en el paso Finalización del Asistente para crear nueva máquina virtual, haga clic
enFinalizar.
Paso 10: en el paso Resumen, verifique que la creación de la VM se ha llevado a cabo con éxito
y, a continuación, haga clic en Finalizar.
Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, enAdministrador de clústeres de conmutación por error.
Paso 2: despliegue el árbol de la consola para seleccionar el nodo Roles. Haga clic con el botón
derecho en la máquina virtual CLIENT-TEST y haga clic en Iniciar.
Paso 3: haga clic con el botón derecho en la máquina virtual CLIENT-TEST, haga clic en Mover y,
a continuación, en Migración en vivo y Seleccionar nodo.
Paso 4: en la ventana Mover máquina virtual, seleccione HV-02 y, a continuación, haga clic
enAceptar.
Paso 5: haga clic con el botón derecho en la máquina virtual y haga clic en Conectar. Verifique
que la máquina virtual está accesible en el host HV-02.
Paso 1: inicie una sesión en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, enAdministrador de Hyper-V.
Paso 2: haga clic con el botón derecho en la máquina virtual CLIENT2 y haga clic en Mover.
Paso 3: en la ventana Asistente para crear clúster, haga clic en Siguiente en el paso Antes de
comenzar.
Paso 6: en el paso Elegir una nueva ubicación para máquina virtual, haga clic en Examinar y
seleccione la carpeta C:\CLIENT2. Haga clic en Siguiente y, a continuación, en Finalizar.
Paso 1: inicie una sesión en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuación, enAdministrador de Hyper-V.
Paso 4: en el paso Localizar disco, haga clic en Examinar para seleccionar la ubicación del
archivo *.vhdx asociado a la máquina virtual y, a continuación, haga clic en Siguiente.
Paso 5: en el paso Elegir acción, marque la opción Expandirlo y, a continuación, haga clic
enSiguiente.
Paso 6: en el paso Expandir disco duro virtual, escriba un valor superior al tamaño actual del
disco. Haga clic en Siguiente y, a continuación, en Finalizar.
Paso 7: conéctese a la máquina virtual cliente e introduzca el comando
siguiente:compmgmt.msc. Navegue hasta el nodo Administración de discos en la
secciónAlmacenamiento para verificar que el disco duro de la máquina virtual cuenta, en
adelante, con espacio sin asignar.
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos a los clústeres de conmutación en
Windows Server 2012 R2. Podría resumirse de la manera siguiente:
Hyper-V puede instalarse en un sistema operativo Windows Server 2012 R2 instalado en modo
Core Server o instalación completa.
Los hosts de un clúster intercambian mensajes de latido cada segundo para conocer el estado
de funcionamiento de los demás integrantes.
1. Preguntas
1 ¿A qué puerto envían los hosts Hyper-V los mensajes de latido para los demás integrantes del
clúster?
3 ¿Después de cuántos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los demás miembros de un clúster?
4 ¿Cuál es la frecuencia de envío de los mensajes de latido enviados por los integrantes de un
clúster?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /6
3. Respuestas
1 ¿A qué puerto envían los hosts Hyper-V los mensajes de latido para los demás integrantes del
clúster?
Los mensajes de latido se envían a los demás miembros del clúster a través del puerto TCP/UDP
3343.
En Windows Server 2012 R2, un clúster de conmutación por error puede soportar 8000 máquinas
virtuales.
3 ¿Después de cuántos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los demás miembros de un clúster?
Si un host Hyper-V no responde a 5 mensajes de latido, se declara como fallo y se inicia el proceso
de conmutación de las máquinas virtuales.
4 ¿Cuál es la frecuencia de envío de los mensajes de latido enviados por los integrantes de un
clúster?
Los miembros de un clúster Hyper-V envían los mensajes de latido destinados a los demás
integrantes del clúster cada segundo.
La replicación permite dotar de redundancia a las máquinas virtuales, que pueden alojarse, de este
modo, simultáneamente en dos hosts Hyper-V. Si uno de los hosts cae, la máquina virtual se
reactiva automáticamente, en el host Hyper-V restante.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los principios de una copia de seguridad de datos.
2. Objetivos
Saber implementar un plan de recuperación de contingencias en caso de siniestro.
1. Recuperación de desastres
La recuperación de desastres consiste en restaurar el servicio que se haya visto impactado tras un
siniestro. Para ello, una empresa puede implementar un plan de recuperación de desastres (PRD)
que consiste en definir las tareas y acciones a realizar para restaurar, en un tiempo récord, el
servicio ofrecido a los usuarios. Un PRD contiene principalmente un plan de respaldo que consiste en
definir una política relativa al almacenamiento del conjunto de datos de la empresa para poder
restaurarlo en caso de necesidad. Antes de implementar una política de respaldo, una empresa
debe realizar un estudio preliminar que ayudará a definir claramente las necesidades y orientar la
manera más adecuada de implementar el plan de respaldo. Para satisfacer mejor las exigencias
requeridas por un sistema informático, es necesario respetar y seguir las mejores prácticas definidas
en las normas ITIL (Information Technology Infrastructure Library).
Las mejores prácticas contenidas en las publicaciones ITIL abogan por dar respuesta a las
siguientes preguntas antes de implementar un plan de recuperación de desastres:
Definir los elementos a securizar y/o respaldar: securizar o respaldar el conjunto del
perímetro informático conlleva costes (software, hardware, espacio de almacenamiento en
disco o cinta, redundancia de equipos, etc.). Por este motivo, conviene evaluar previamente el
volumen de datos a almacenar realizando la selección de los elementos a conservar.
Evaluar los costes del respaldo: a mayor cantidad de datos a respaldar, mayor será el coste
del plan de respaldo (equipo de copia de seguridad, espacio en disco, etc.). Para controlar su
presupuesto, es importante no descuidar los costes vinculados al respaldo. Todos los
elementos de la infraestructura de copia de seguridad deben ser evaluados, como el
hardware, software, volumen de datos, costes de retención, costes de almacenamiento al
igual que los costes humanos (administrador, operador, etc.).
Definir las cláusulas del contrato de nivel de servicio: las publicaciones que describen las
mejores prácticas informáticas mencionan la gran importancia de definir previamente el nivel
de servicio ofrecido a los usuarios. Estas cláusulas deben registrarse en un documento que
indique con claridad la calidad que se espera de los servicios (contrato entre cliente y
proveedor también llamado SLA: Service Level Agreement), así como los tiempos de
interrupción de servicio máximos en caso de avería o siniestro. La duración máxima de
interrupción del servicio aceptable antes del reinicio de la actividad, también llamada RTO
(Recovery Time Objective) de acuerdo a las publicaciones ITIL.
Definir la política de retención de los respaldos: cuando los respaldos se realizan en cinta,
online o en disco, se consume espacio de almacenamiento. La política de retención de
respaldos define el tiempo durante el que es necesario conservar los archivos almacenados
antes de sobrescribirlos con una nueva copia de seguridad o, simplemente, destruirlos.
Cuanto mayor sea el período de conservación de los respaldos, más fácil será para un
administrador restaurar datos eliminados hace varios días. El caso se presenta sobre todo
para las situaciones de eliminación accidental de datos. Por ejemplo, si un usuario elimina
accidentalmente una carpeta importante y ningún usuario se da cuenta de ello en dos
semanas... será entonces imposible para un administrador restaurar los datos eliminados si
la política de retención de copias de seguridad impone una rotación para la sobrescritura de
los archivos de una semana. Para poder restaurar en diferentes situaciones, es posible
implementar dos planes de respaldo simultáneamente. Por ejemplo, un plan de respaldo
semanal en disco podría realizar copias de seguridad con un período de retención de cuatro
semanas, mientras que otro plan de respaldo mensual en cinta podría realizar copias de
seguridad con un plazo de retención de un año.
Definir una política de restauración de datos: existen diferentes métodos para restaurar los
datos en función de los métodos de copia de seguridad o recuperación implementados para
securizar la infraestructura informática. Durante un siniestro, conviene determinar
previamente los métodos de recuperación de los datos en función del tipo de situación. Una
política de restauración debe estar definida de acuerdo a las cláusulas definidas en los
contratos de calidad de servicio. Por ejemplo, si un usuario pierde un archivo, será más rápido
intentar restaurar los datos mirando en la caché de instantáneas que recuperar una cinta del
centro de respaldo de archivos. Esto permite restaurar los datos más rápidamente y
aumentar el porcentaje de disponibilidad para respetar las cláusulas de calidad de servicio
por parte de los administradores, así como reducir el tiempo de interrupción máximo admisible
por los usuarios. Resulta básico validar y probar regularmente cualquier plan de respaldo que
se implemente, con el objetivo de garantizar que la política de restauración es operativa y
que los datos almacenados son explotables. Sucede con demasiada frecuencia que una
empresa respalda sus datos en cinta y que el día que se requiere una restauración los
administradores se encuentran impotentes, con una cinta en blanco o datos inutilizables.
Conviene probar, sistemáticamente, que el proceso de restauración funciona y que los
archivos restaurados son accesibles por los usuarios. Esto garantiza la integridad de los
datos restaurados así como la calidad del servicio proporcionado.
Cloud
Soportes extraíbles
CD/DVD ROM
Ubicaciones de red
Instantáneas
RAID
Esta herramienta permite principalmente gestionar las copias de seguridad locales (ubicación de red,
volumen en disco) o en línea (Windows Azure Online Backup).
Cuando ejecutamos una copia de seguridad con esta herramienta, el complemento Copias
deseguridad de Windows Server crea un disco virtual del volumen a respaldar. Este disco virtual es un
archivo imagen con formato *.vhdx, que es el nuevo formato de almacenamiento de las máquinas
virtuales en Microsoft Hyper-V3. Los discos virtuales VHDX pueden soportar 64 TB de datos. El disco
virtual dedicado para la copia de seguridad de los datos se crea en la ubicación siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Backup [Fecha de la copia de
seguridad]
Se puede navegar en cualquier momento por los archivos de imagen de disco duro empleando un
complemento. La herramienta crea los archivos BackupGlobalCatalog y GlobalCatalog que registran la
configuración de los volúmenes respaldados en la siguiente ubicación:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Catalog
Cada copia de seguridad realizada debe verificarse para garantizar que los datos son accesibles en
caso de requerir una restauración urgente. Si ocurriera algún accidente durante el proceso de copia
de seguridad, la herramienta graba los registros de errores en la ubicación siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Logs
La consola de administración Copias de seguridad de Windows Server permite gestionar los tipos
de Copias de seguridad local o Copias de seguridad en línea. El menú Acciones de la Copia de
seguridad local permite administrar los elementos siguientes:
Programar copia de seguridad: permite programar una copia de seguridad para ejecutarla
a intervalos regulares.
Hacer copia de seguridad una vez: permite ejecutar una copia de seguridad completa.
Recuperar: permite restaurar los datos a partir de elementos de una copia de seguridad ya
realizada mediante una copia de seguridad local o en línea.
Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server basta con iniciar el asistente Programar copia de seguridad desde el menú Acciones de la
sección Copia de seguridad local. El asistente para programar una copia de seguridad permite
seleccionar los elementos que se quiere copiar y, a continuación, definir la frecuencia del respaldo.
Es posible planificar la ejecución de las copias de seguridad para que se realicen una vez por
semana o varias veces al día:
La ubicación de destino de una copia de seguridad planificada puede definirse en:
Un volumen
Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server, basta con iniciar el asistente Hacer copia de seguridad una vez desde el
menú Accionesde la sección Copia de seguridad local. El asistente Copia de seguridad una
vez permite seleccionar los elementos a respaldar realizando una copia completa del servidor o
seleccionando elementos concretos para realizar una copia de seguridad personalizada. Es posible
seleccionar los siguientes elementos de una copia de seguridad:
Reconstrucción completa
Un volumen completo
Cuando se ejecuta una copia de seguridad de una vez, el detalle de la copia de seguridad se
muestra en la ventana central de la consola Copias de seguridad de Windows Server.
Para recuperar los datos mediante la herramienta Copias de seguridad de Windows Server,
basta con iniciar el asistente Recuperar desde el menú Acciones de la sección Copia de seguridad
local. El Asistente para recuperación permite seleccionar los elementos a recuperar desde el
catálogo de copias de seguridad disponibles.
El asistente muestra un calendario con los datos en negrita indicando los elementos de copias de
seguridad disponibles en el catálogo de respaldos realizados con éxito:
Archivos y carpetas
Volúmenes
Aplicaciones
1. Instantáneas
Las instantáneas, también llamadas en inglés Shadow Copy, permiten implementar una copia de
seguridad automática en los archivos modificados. Esto permite, en particular, restaurar un archivo a
una versión anterior cuando se realizan, por ejemplo, modificaciones erróneas en un documento,
que luego se salvaguardan. Esta tecnología utiliza el servicio Windows Volume Shadow Copy
Service (VSS) para realizar una copia de los archivos.
Establezca un tamaño límite para la gestión de las instantáneas (el tamaño mínimo se fija en
320 MB).
Para restaurar los datos que han sido modificados por error, basta con editar las propiedades
de la carpeta o archivo a restaurar y hacer clic en la pestaña Versiones anteriores. Esta vista
permite visualizar las versiones anteriores del archivo disponibles para poder seleccionar una
fecha adecuada para restaurar el archivo. Antes de restaurarlo, es posible visualizar el
contenido del archivo o de la carpeta haciendo clic en Abrir, para verificar si la copia es
conforme al elemento que deseamos restaurar. Haciendo clic en el botón Copiar, podemos
restaurar el elemento seleccionado a una ubicación diferente. Haciendo clic
en Restaurarpodemos recuperar el archivo de la fecha seleccionada, sobrescribiendo la versión
actual.
2. Papelera de reciclaje de Active Directory
La papelera de reciclaje de Active Directory es una funcionalidad aparecida con Windows Server
2008. Esta funcionalidad permite restaurar objetos eliminados por error, cuando la opción de
protección contra eliminación accidental no está implementada. La activación de esta opción necesita
la elevación del nivel funcional del bosque a Windows Server 2012. Después de activada, ya no será
posible modificar el nivel funcional del bosque ni desactivar la papelera de reciclaje de Active
Directory.
Para activar la papelera de reciclaje de Active Directory, basta con realizar el procedimiento
siguiente:
Haga clic en Aceptar para validar la activación de la papelera de reciclaje de Active Directory:
Trabajos prácticos
La empresa INFONOVICE desea implementar un plan de recuperación ante desastres que permitirá
respaldar la totalidad de la información almacenada en el servidor de archivos. El nivel de servicio en
caso de siniestro no debe estar degradado mucho tiempo. Para ello, la empresa solicita planificar la
copia de seguridad a diario, con un umbral de pérdida de datos máximo admisible fijado en medio día
de actividad. En lo relativo al directorio Active Directory, aunque la protección de objetos está activada
por defecto para evitar cualquier eliminación accidental, se le solicita implementar la papelera de
reciclaje de Active Directory para poder restaurar cualquier objeto no protegido que fuera eliminado.
Para responder a cada necesidad, se le solicita implementar una solución de copia de seguridad en
disco y en línea para ofrecer dos mecanismos distintos de recuperación de los datos. La
implementación de instantáneas se utilizará para cumplir el requisito del umbral de pérdida de datos
máximo de medio día. El conjunto de los datos de usuario a respaldar se encuentra en la carpeta
compartida E:\COMÚN (cree los archivos en esta carpeta compartida bajo el nombre del recurso
compartido: COMÚN) del servidor de archivos. Las copias de seguridad se almacenarán de manera
local en el directorio compartido E:\BACKUP del servidor de archivos.
Para realizar los siguientes trabajos prácticos deberá implementar las siguientes máquinas virtuales
que albergarán los siguientes roles:
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalación, Seleccionar servidor de destino y Seleccionar roles de servidor.
Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Reconstrucción completa
La carpeta E:\COMÚN
Paso 12: el detalle de la copia de seguridad aparece en la parte central de la consola Copias de
seguridad de Windows Server. Navegue hasta la carpeta
E:\BACKUP\WindowsImageBackup\FILES-01\Backup [Fecha de la copia de seguridad] para
constatar que la copia de seguridad del servidor se ha realizado correctamente:
Este procedimiento permite planificar una copia de seguridad empleando la herramienta Copias de
seguridad de Windows Server. Los datos a respaldar deben configurarse para archivarse en un
nuevo volumen dedicado al almacenamiento. Habrá que agregar como requisito previo un nuevo disco
al servidor FILES-01 que se inicializará como el volumen F:\.
Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Reconstrucción completa
Paso 8: en la ventana Especificar hora de copia de seguridad, marque la opción Una vez al
díapara especificar la frecuencia de los respaldos y, a continuación, en la lista desplegable,
seleccione 22:30. A continuación, haga clic en Siguiente:
Paso 9: en la ventana Especificar tipo de destino, marque la opción En un volumen y, a
continuación, haga clic en Siguiente.
Paso 10: en la ventana Seleccionar volumen de destino, haga clic en Agregar. Seleccione el
volumen F:\, haga clic en Aceptar y, a continuación, en Siguiente.
Paso 13: la copia de seguridad programada aparece, ahora, en el centro de la consola Copias de
seguridad de Windows Server:
Paso 14: cuando llega la hora de ejecución, se inicia la copia de seguridad programada. Al
terminar la copia de seguridad, se muestra una notificación en la ventana central de la
consolaCopias de seguridad de Windows Server:
Paso 4: en la ventana Introducción, marque la opción Este servidor y, a continuación, haga clic
en Siguiente.
Paso 5: en la ventana Seleccionar fecha de copia de seguridad, haga clic en una fecha que
aparezca marcada en negrita en el calendario. Esta fecha debe corresponder a la última copia de
seguridad programada que se ha ejecutado en el servidor. Haga clic en Siguiente.
Paso 9: en la ventana Confirmación, verifique que el conjunto de los archivos a restaurar son
correctos y, a continuación, haga clic en Recuperar.
Instalación de WAB
Este taller permite instalar la herramienta de copia de seguridad Windows Azure Backup (WAB).
Paso 2: haga clic en el vínculo PORTAL y acceda con una cuenta de usuario MICROSOFT (Hotmail,
MSN, Passport.Net, etc.), antes de ser redirigido a la web
siguiente:https://manage.windowsazure.com
Paso 4: Al terminar la creación del almacén aparece una notificación en la barra inferior:
Es posible crear un certificado autofirmado para el taller si no podemos obtener un certificado emitido
por una autoridad certificadora aprobada por Microsoft. Para crear el certificado autofirmado, basta
con seguir los pasos siguientes:
Descargue la herramienta MakeCert.exe desde el sitio web de Microsoft (el archivo Windows SDK
for Windows 8 and .NET Framework 4 contiene la herramienta MakeCert: sdksetup.exe).
La fecha de expiración está en formato Americano, es decir los meses y los días cambian de
lugar: mes/día/año.
Haga clic con el botón derecho en el archivo CertInfonovice.cer y haga clic en Instalar
certificado.
Marque la opción Colocar todos los certificados en el siguiente almacén y haga clic
enExaminar para especificar el almacén de certificado Personal. Haga clic en Aceptar y, a
continuación, en Siguiente.
Importe el certificado CertInfonovice.cer (tenga precaución, el certificado no debe tener una fecha
de validez superior a 3 años y una longitud de cifrado menor de 2048 bits):
Paso 7: haga clic en Descargar agente y seleccione Agente para Windows Server y System
Center - Data Protection Manager. Esta acción tiene como finalidad descargar el
ejecutableWABInstaller.exe (Windows Azure Backup Installer).
Paso 8: ejecute el archivo WABInstaller.exe (la ejecución de este archivo puede realizarse en
un sistema operativo Microsoft Windows Server 2008 R2 SP1 o superior).
Paso 9: marque la opción Acepto los términos del Aviso complementario y haga clic en Aceptar.
Paso 13: en el paso Instalación, cuando la instalación termine, desmarque la opción Buscar
actualizaciones más recientes y haga clic en Finalizar.
Paso 14: vaya al menú Inicio y, mediante la tecla Windows de su teclado, haga clic en el
programa Windows Azure Backup:
Paso 15: en el menú Acciones, haga clic en Registrar servidor:
Paso 17: en el paso Identificación del almacén, haga clic en Examinar. Seleccione el certificado
autofirmado creado en el paso anterior y, a continuación, haga clic en Aceptar.
Este taller permite programar una copia de seguridad mediante la herramienta de copia de seguridad
Windows Azure Backup (WAB).
Paso 4: en el paso Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
El trabajo de copia de seguridad mediante Windows Azure Backup está programado. Este último
tiene un límite de 850 GB de datos.
Este taller permite recuperar los datos una copia de seguridad mediante la herramienta de copia de
seguridad Windows Azure Backup (WAB).
Paso 3: en el paso Introducción, marque la opción Este servidor y, a continuación, haga clic
enSiguiente.
Paso 9: cuando finalice la restauración de los datos eliminados, haga clic en Cerrar.
Paso 10: navegue hasta la carpeta C:\BACKUP para verificar que los
archivos Confidencial.txt,Importante.txt y Público.txt se han restaurado correctamente:
Resumen del capítulo
A lo largo de este capítulo, hemos visto todos los aspectos relativos a la copia de seguridad y
restauración en Windows Server 2012 R2. Podría resumirse de la manera siguiente:
Una infraestructura Windows Server 2012 R2 necesita un plan de recuperación ante desastres
que respete las mejores prácticas ITIL como los SLA, los RTO y los RPO.
La papelera de reciclaje de Active Directory permite recuperar los objetos del directorio
eliminados accidentalmente.
Validación de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 ¿Qué es un PRD?
2 ¿Qué es un SLA?
3 ¿Qué es un RTO?
4 ¿Qué es un RPO?
2. Resultados
Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Número de puntos: /7
3. Respuestas
1 ¿Qué es un PRD?
2 ¿Qué es un SLA?
Un SLA, o Service Level Agreement, permite definir el contrato de calidad de servicio que una
infraestructura debe proporcionar. Encontramos en particular las duraciones máximas de
interrupción de servicio en caso de siniestro.
3 ¿Qué es un RTO?
Un RTO, o Recovery Time Objective, permite definir la duración máxima de interrupción de servicio
antes de reanudar la actividad.
4 ¿Qué es un RPO?
Un RPO, o Recovery Point Objective, permite definir la tolerancia a pérdida de datos admisible en
caso de siniestro.
Las instantáneas permiten realizar copias de archivos frecuentemente modificados para poder
recuperar una versión anterior en caso de una solicitud de restauración urgente.
Un trabajo de copia de seguridad empleando Windows Azure Backup está limitado a un volumen de
datos inferior a los 850 GB.
Tabla de objetivos
Trabajos
Objetivo Capítulos
prácticos